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EDITORIAL 


November 2008 


assend zur Jahreszeit der nördlichen 

Hemisphäre zieht am Horizont der 
IT-Landschaft schweres Wetter auf: 
Cloud Computing. Seine Entstehung 
verdankt es dem Symbol für das Netz 
der Netze. Hinter dem Zeichen der 
Wolke verbirgt sich die komplexe 
Struktur der Wege, die im Einzelfall 
irrelevant ist, da sie nur zeigen soll, 
dass zwei oder mehr Systeme mit- 
einander in Verbindung stehen. 


Cloud Computing steht jedoch für 
Handfesteres. Da ballen sich bei Her- 
stellern und Dienstleistern Computer- 
ressourcen, die teuer bezahlt nur zu 
einem geringen Teil ausgelastet sind. 
Und das ist ein Ärgernis, dem Technik 
und Marketing mit verschiedenen 
Mitteln zu Leibe rücken wollen — 
Cloud Computing ist eins davon. 
Amazon macht es vor und bietet regis- 
trierten Kunden nicht nur Speicher- 
platz, sondern auch Rechenleistung im 
Web an. Im Grunde eine Methode, mit 
der die ersten RZ schon Dampf abge- 
lassen und Rechenzeit vermietet 
haben, wenn auch ohne Internet. 


Im Nebulösen bleibt dabei nur, welche 
Ressourcen der Kunde bei seinem 
Anbieter gerade nutzt, was ihm getrost 
egal sein kann, denn er kauft einen 
Dienst bei jemandem, der ihm etwas 
ausrechnet, und das muss stimmen. So 
lässt Amazon niemanden im Ungewis- 
sen und nennt sein Angebot Elastic 
Compute Cloud (EC2 - nein, kein 
Quadrat): Da verschwindet nix, aber 
man bleibt flexibel, schließlich ist das 
ja noch alles Beta. 


Eix-ink ix0811003 
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Tiefdruck 


Doch offensichtlich reicht das nicht. 
Fast alle in der IT-Branche müssen die 
frische Brise gespürt haben und halten 
nun ihre Fähnchen in den Wind. Alle? 
Nein, es muss einen geben, und der hält 
das für (frei übersetzt) ausgemachten 
Blödsinn (stupidity): Richard Stallman, 
Gründer der Free Software Foundation. 
Er sieht die Freiheit bedroht, denn 
Cloud Computing bedeute, die Kon- 
trolle abzugeben. Das klingt wie ein 
Widerspruch, denn Open Source heißt 
ja, andere in die Karten gucken lassen, 
und Cloud Computing wäre ohne Open 
Source kaum denkbar. Aber der Dienst 
ist nicht kostenlos verfügbar und es 
handelt sich nicht um Verträge mit 
einer Community. Die Front, die dort 
aufzieht, droht nicht nur die Dämme 
der Informationsflut aufzuweichen, 
sondern auch die Software ins Schwim- 
men zu bringen. 


Eine solche Atmosphäre ruft andere 
Wolkenmacher auf den Plan: Microsoft 
in Gestalt von Steve Ballmer, der auf 
der Bühne immer wieder der Kamera 
entkommend einen gewaltigen Wirbel 
verursacht und ein neues Betriebssys- 
tem mit dem (vorläufigen) Namen 
Windows Cloud als unbedingt erforder- 
lich ankündigt. Erst jetzt erkennt man 
die grenzenlose Freiheit über den 
Wolken: den Desktop im Internet, was 
diesmal wohl nicht bei iDOS oder iWin 
beginnt. Das überraschte Amazon, 
Google nicht, dort hat man schon — 
einen Desktop. Amazon ließ deshalb 
eiligst Windows als Ballon im EC2 
steigen. Die Großwetterlage hat nun 
wohl alle Bereiche erfasst, nicht nur 
diejenigen, denen es um die gelegent- 
liche Nutzung fremder Ressourcen für 
spezielle Aufgaben oder um das Abfan- 
gen von Leistungsspitzen geht. 


Einer, der sich auskennen muss mit 
wallenden Nebeln und Weissagungen, 
Larry Ellison, der Chef von Oracle, gab 
sodann den Derwisch „Gibberish, 
Insane, and Idiocy“, was man als 
dummes Gerede, Irrsinn und Idiotie 
übersetzen kann — und das, nachdem 
wenige Tage vorher sein Unternehmen 
groß bei Amazons EC2 eingestiegen 
war. „Die Computerindustrie ist noch 
modeverrückter als die Frauen“, räso- 
niert er weiter und er hat recht, denn 
Oracle hat sich ja bei Amazon gerade 
neu eingekleidet. Und er gesteht, dass 
er gar nicht weiß, worüber alle gerade 
reden. Auch da hat er recht. Denn was 
nun Cloud Computing wirklich ist, ein 
Rechnerverleih, ein dienstbarer Geist 
oder die endgültige Freiheit vom 
Desktop, kann keiner mehr sagen. Nur 
eins ist klar: Es gibt einen neuen Hype. 


oyı und 


RALPH HÜLSENBUSCH 
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Strom sparen im RZ 


Mehr Energieeffizienz im 
Rechenzentrum beruhigt nicht nur 

das Klima-Gewissen, sondern 

senkt auch die Stromrechnung. 

Die IT-Hersteller haben bereits reagiert 
und bieten „grüne” Komponenten 

und Konzepte an. 


Seite 96 


Administration: NIS ade mit FreelPA 


Der einst unter dem 
Begriff „Yellow 
Pages” firmierende 
Verzeichnisdienst 
Network Information 
Service kann aktuelle 
Sicherheitsanforde- 
rungen nicht erfüllen. 
Kostenlose Abhilfe 
verspricht das Open- 
Source-Projekt 
FreelPA. 


Seite 122 


Malware-Baukasten: Web Exploit Toolkit 


Wie am Fließband kann 
man mit Web Exploit 
Toolkits Malware gene- 
rieren - was Standard-Anti- 
Virus-Software große 
Schwierigkeiten bereitet. 


Seite 131 
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Computer als Dolmetscher 


Auch wenn die Ergebnisse maschineller Übersetzungen immer 
wieder für einen Lacher gut sind - in den letzten Jahren haben 
Übersetzungsprogramme signifikante Fortschritte gemacht. 
Grund dafür sind Verfahren, die auf Statistik 

statt auf Linguistik setzen. Theorie und 

Marktlage auf den 


Seiten 42 und 48 
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November 


Unterordner 
im Blackberry 


(Smartphones: Business-Handys von RIM, HTC, 
Nokia und Apple, iX 10/08, 8.34) 


In Ihrem Artikel schreiben Sie, dass 
Blackberry keine Unterordner und damit 
auch kein Verschieben von Emails in 
diese Ordner unterstützt. Dies ist nicht 
korrekt. Man muss nur über den BES- 
Administrator, den Desktop-Client oder 
über das Blackberry-Endgerät festlegen, 
welche Exchange-Ordner synchronisiert 
werden sollen. Standardmäßig ist dies 
leider wirklich nur der Posteingang. 
Nach Auswahl anderer Ordner wird de- 
ren Inhalt auf dem Blackberry ange- 
zeigt und Emails können auch verscho- 
ben werden. 


CARSTEN MÜLLER, LANGGÖNS 


Zu konservativ beurteilt 


(Smartphones: Business-Handys von RIM, HTC, 


Nokia und Apple, iX 10/08, S. 34) 


Für einen vergleichenden Test der ak- 
tuellen Smartphonetechniken bin ich 
immer dankbar, insbesondere weil die- 
ser Test die Geräte einmal vom Aspekt 
der Usability aus betrachtet — ein An- 
satz, der bei den üblichen Whitepaper- 
Attacken zu kurz kommt. 

Das HTC Touch Diamond wird aus 
meiner Sicht allerdings zu sehr aus et- 
was zu konservativer Sicht betrachtet. 
Dieses Gerät hat in unserem Hause 
(Landeshauptstadt Hannover, d. Red) 
die Akzeptanz von Windows-Mobile- 
Smartphones deutlich erhöht. Es hat 
sich gezeigt, dass gerade der „Ich will 
doch nur telefonieren“-Anwender posi- 
tiv darauf reagiert, wenn die wichtigs- 
ten Funktionen durch Fingertippen oh- 
ne Menüs und ohne Stiftbenutzung zu 
erreichen sind. 

Auch sind einige Funktionen nicht 
richtig wiedergegeben: 

- Die fingerbediente Kontaktliste ak- 
zeptiert natürlich auch Kontakte, für 
die kein Foto hinterlegt ist. Es werden 
mehrere Dummypbilder (Scherenschnit- 
te) angeboten, aus denen dann ausge- 
wählt werden kann. Alternativ kann 
auch ein beliebiges auf dem Gerät ge- 
speichertes Bild ausgewählt werden. 

— Der Comm-Manager zum An- und 
Abschalten von Geräteschnittstellen 
muss nicht mit Schiebereglern bedient 
werden, man kann einfach auf jeden 
Eintrag wie „WLAN“ oder „Bluetooth“ 


mit dem Finger tippen und schaltet da- 
mit die Funktion an oder aus. 

— Die Mailansicht im TouchFlo dient 
nur der Voransicht, man sieht auf ei- 
nen Blick, wer geschrieben hat, und 
kann die erste Zeile der Mail lesen. 
Mit einmal Antippen der Mail landet 
man in der normalen Leseansicht. Die- 
se Voransicht zeigt mir meist auf ei- 
nen Blick, ob die Mail akut relevant 
ist oder noch bei besserer Gelegenheit 
gelesen und beantwortet werden kann. 
Die hinter der Mail beschriebene Lis- 
tenansicht des Postfaches sieht man 
dagegen, indem man links unten auf 
Posteingang tippt. 


DR 


Fax: 05 11/53 52-361 
Postfach 61 04 07 | E-Mail: <user>@ix.de 
30604 Hannover |Web: www.ix.de 


Direktwahl zur Redaktion: 05 11/53 52-387 


Für telefonische Anfragen zu Artikeln, techni- 
schen Problemen, Produkten et cetera steht die 
Redaktion wie gewohnt während der Leser- 
sprechstunde zur Verfügung. Und zwar: 


Redaktion iX 


Montag bis Freitag, 11 bis 12 Uhr 


Bitte nur während der genannten Zeiten 
anrufen und möglichst die angegebene 
Durchwahl benutzen. 


<Durchwahl> <user> 
-387 post Redaktion allgemein 
-377. avr (Andre von Raison) 
-590 ck (Christian Kirsch) 
-387 cle (Carmen Lehmann) 
-374 hb [Henning Behme] 
-379 id (Jürgen Diercks] 
-386 is (Jürgen Seeger] 
-367 ka (Kersten Auel) 
-153 mm (Michael Mentzel) 
-787 mr [Michael Riepe) 
-373 rh (Ralph Hülsenbusch] 
-689 sun [Susanne Nolte) 
-368 un (Bert Ungerer) 
-535 ur [Ute Roos) 
-384 wm (Wolfgang Möhle] 


Listing-Service: 

Sämtliche in iX seit 1990 veröffentlichten Lis- 

tings sind über den iX-FTP-Server erhältlich: 

ftp.heise.de/pub/ix/ 

Ein Bei Artikeln mit diesem Hinweis 
können Sie auf www.ix.de das zuge- 

hörige Argument (ix)JMMSSS) eingeben, um 

eine klickbare Liste aller URLs zu bekommen. 


iX 11/2008 


© Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. 


Der Touch Diamond scheidet die 
Geister zugegebenermaßen: Stiftge- 
wohnte Mitarbeiter nutzen teilweise 
auch weiter die gewohnte Bedienung. 
Für diese kann man mit wenigen 
Klicks die gewohnte klassische Ober- 
fläche herstellen. 

Was die Erfahrung in unserem 
Hause zeigte: Die im Gerät eingebau- 
te Ausziehtastatur von Geräten wie 
dem Touch Pro, TyTn 2 (MDA Vario 
II) oder P4350 wird von einigen Nut- 
zern nachgefragt, von den meisten 
aber nur in der ersten Gewöhnungs- 
phase genutzt. Nach kurzer Zeit wird 
die Onscreentastatur per Stift oder 
Finger benutzt, die Auszugstastatur 
wird doch als ungewohnt und störend 
empfunden. 

Was für den Test noch interessant 
gewesen wäre, ist eine Betrachtung 
der real zu erwartenden Laufzeiten bei 
normalem Gebrauch als Handy mit 
Pushmail. Die Akkulaufzeit eines 
Touch Diamond, die als reines Tele- 
fon über einer Woche liegt, sinkt mit 
Pushmailnutzung gerne auf 48 bis 60 
Stunden. Beim iPhone scheint die 
Standzeit ähnlich zu sein, das Nokia- 
und das RIM-Gerät kann ich hier nicht 
einordnen. 


DETLEV RACKOW, HANNOVER 


Ordner im Nokia E71 


(Smartphones: Business-Handys von RIM, HTC, 


Nokia und Apple, iX 10/08, S. 34) 


Auf Seite 42 schreibt Herr Kirsch: 
„Als einziger im Test erlaubt er [der 
HTC Touch Diamond] das Abonnie- 
ren von Ordnern.“ Das ist nicht kor- 
rekt. Der E-Mail-Client des Nokia E71 
erlaubt ebenfalls das Abonnement von 
Ordnern. Hier widerspricht sich Herr 
Kirsch auch selbst, da er auf Seite 40 
noch schreibt: 

„IMAP-Folder lassen sich zwar 
abonnieren und relativ normal bearbei- 
ten [...]“ 

Im Artikel vermisse ich im Übrigen 
auch eine Gegenüberstellung der VoIP- 
Funktionalität. Mir ist nicht klar, wa- 
rum der Autor die SIP-Clients (falls 
vorhanden) nicht verglichen hat bzw. 
überhaupt gar nicht angesprochen hat. 


Die iX-Redaktion behält sich Kürzungen und 
auszugsweise Wiedergabe der Leserbriefe vor. 
Die abgedruckten Zuschriften geben ausschließ- 
lich die Meinung des Einsenders wieder, nicht 
die der Redaktion. 
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So wirklich gelungen ist der Artikel 
nicht, da es dem Autor meiner Mei- 
nung nach nicht gelungen ist, einen ge- 
meinsamen Nenner für einen qualitativ 
ansprechenden Vergleich der vier 
Smartphones zu finden. 


DANIEL PHILIPP, STUTTGART 


Schöner Überblick 


(Client-Management: Marktübersicht PC-Ma- 


nagement-Software, iX 10/08, S; 80) 


Ihr Artikel ist ein sehr schöner Über- 
blick, der die Probleme bei der Einfüh- 
rung von solchen Systemen gerade im 
Mittelstand gut beschreibt. Schade nur, 
dass das Opensource Desktop Manage- 
mentsystem „opsi“ keine Erwähnung 
gefunden hat. Zumal gerade dieses Pro- 
dukt bei mittelständischen Betrieben 
(nicht zuletzt aus preislichen Gründen) 
gut angenommen wird. 


DETLEF OERTEL, MAINZ 


Offene Systeme 
totgeschwiegen 


(Embedded Systems: Betriebssysteme, iX 10/08, 
nach S. 146) 


Das extra enttäuscht mich zutiefst. Of- 
fensichtlich von den Anzeigenkunden 
getrieben, werden nur kommerzielle 
eingebettete Betriebssysteme gelistet 
und offene System wie eCos, uCLinux 
und RTEMS einfach totgeschwiegen. 

Gerade letzteres hätte Erwähnung 
verdient, da es als einziges eine kom- 
plette ADA-Unterstützung bietet und 
außerdem so robust und gereift ist, dass 
es bei DESY, CERN, ESA und NASA 
(Dawn mission, framing camera) zum 
Einsatz kommt. 


WOLFRAM WADEPOHL, 
REUTLINGEN-OHMENHAUSEN 


In der Tat ist die Liste nicht vollstän- 
dig, weil die schiere Menge der Be- 
triebssysteme im Embedded-Umfeld 
eine komplette Auflistung nicht zu- 
lässt. Leider ist der Hinweis auf die 
Beschränkung auf kommerzielle Be- 
triebssysteme der Schere zum Opfer 
gefallen. Interessierte können wir an 
dieser Stelle nur auf iX extra 2/09 ver- 
trösten, das unter dem Thema ‚„Indus- 
trie-PCs und ihre Betriebssysteme“ 
auch die Open-Source-Varianten vor- 
stellt. (d. Red.) 
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Mobile Computing 


Handyproduktion unter harten Bedingungen 


Einer Studie der von der EU 
finanzierten Organisation Make- 
ITFair zufolge genügen die 
Arbeitsbedingungen in vielen 
asiatischen Handyfabriken wei- 
terhin nicht den internationa- 
len Vorgaben und lokalen Ge- 
setzen. Die Untersuchung (Ss. 
iX-Link) betrachtete vier chi- 
nesische und zwei philippini- 
sche Produktionsstätten. Zwar 
würden dort die Mindestlöhne 
gezahlt, sie reichten jedoch häu- 
fig nicht zum Leben. So erhalte 
ein Arbeiter in einer Export- 
zone auf den Philippinen 120 € 
monatlich, eine Familie benöti- 
ge jedoch 200 € mehr. Die un- 
zureichende Entlohnung erhöhe 
die Bereitschaft, Überstunden 
zu leisten. In Spitzenzeiten 
komme es so zu Wochenar- 
beitszeiten von 80 Stunden; alle 
untersuchten chinesischen Fa- 
briken hätten die gesetzlich 
vorgeschriebene Maximalzahl 
von 36 Überstunden pro Wo- 
che überschritten. Weitere Kri- 
tikpunkte betreffen Strafzahlun- 
gen, die die Unternehmen von 
den Löhnen einbehalten, und 
die Gesundheitsbedingungen. 
So werde wegen des Zeitdrucks 


SILENCED TO 
DELIVER 


häufig ohne die vorgeschriebe- 
ne Schutzkleidung mit gefähr- 
lichen Chemikalien gearbeitet. 
China produziert zurzeit 
rund 250 Millionen Handys 
jährlich, die Hälfte aller welt- 
weit hergestellten Geräte. Auf- 
traggeber der untersuchten Fa- 
briken sind Motorola, Nokia, 
Sony-Ericsson, Apple, LG und 
Samsung. Die beiden Letzteren 
verweigerten Kommentare zu 
der Studie; die übrigen Firmen 
wollen die Kontrolle der Ar- 
beitsbedingungen verbessern. 


Eix-ink ix0811012 


Kaspersky sieht Handyviren kommen 


Nach Auffassung der russi- 
schen Anti-Viren-Firma Kas- 
persky nutzen Virenautoren 
vermehrt den als „write once, 
run everywhere“ beworbenen 
Vorzug von Java-Programmen: 
Sie laufen unverändert auf je- 
der Plattform, die eine passen- 
de virtuelle Maschine bereit- 
stellt. Diese Voraussetzung 
erfüllen mittlerweile viele 
Handys, auf denen die Java 
Micro Edition (J2ME) instal- 
liert ist. 


Ziel der Malware sei es, 
SMS-Nachrichten an kosten- 
pflichtige Dienste zu senden. 
Nach eigenen Angaben hat 
Kaspersky bereits 50 solche 
Programme entdeckt. Damit ha- 
be sich gegenüber dem zweiten 
Halbjahr 2007 die Zahl ver- 
vierfacht. Allerdings warnen 
die Hersteller von Anti-Viren- 
Programmen seit Jahren vor 
Handyviren - bislang gab es je- 
doch noch keines, das sich nen- 
nenswert verbreitet hätte. 


Aus für Nokias Intellisync 


Nur knapp drei Jahre, nach- 
dem Nokia Intellisynce und 
dessen gleichnamige Synchro- 
nisierungssoftware übernom- 
men hatte, kam das Aus: Der 
Handyhersteller wird das Pa- 
ket aus Mobile Suite, Wireless 
E-Mail, Device Management 
und Application Sync seinen 
Unternehmenskunden nicht 
mehr als eigenständiges Pro- 
dukt anbieten. Nur auf dem ei- 
genen Ovi-Portal soll Intelli- 
sync noch laufen. Vorhandene 


Installationen will Nokia noch 
für zwei Jahre warten und in 
dieser Zeit beim Umstieg auf 
andere Produkte helfen. 

In Zukunft sollen die hausei- 
genen S60-Handys das Active- 
sync-Protokoll nutzen, das unter 
anderem der Exchange-Server 
verwendet. Auch mit IBM und 
Cisco will Nokia stärker zu- 
sammenarbeiten. IBM deutete 
an, dass sein Domino 8.5 den 
„Lotus Traveler“ enthalten und 
S60-Geräte unterstützen werde. 
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MARKT + TRENDS 


WWW 


Adobe bringt Creative Suite 4 


Adobe hat eine Neuauflage 
seiner Creative Suite vorge- 
stellt. Es gibt nicht nur neue 
(CS4-)Versionen der ein- 
zelnen Anwendungen wie 
Photoshop, Indesign, Illus- 
trator, After Effects, Pre- 
miere Pro, Dreamweaver 
und Flash Professional, son- 
dern auch insgesamt sechs 
neue Creative-Suite-4-Edi- 
tionen für verschiedene An- 
wendungsschwerpunkte. 


Die Adobe Creative Suite 4 
Design Premium enthält An- 
wendungen für das Design in 
Print, Web und für mobile Ge- 
räte. Das sind im Einzelnen: 
Adobe Indesign CS4, Photo- 
shop CS4 Extended, Illustrator 
CS4, Flash CS4 Professional, 
Dreamweaver CS4, Acrobat 9 
Pro sowie das neu hinzuge- 
kommene Adobe Fireworks 
CS4 für das schnelle Entwer- 
fen von Website-Prototypen. 

Die Creative Suite 4 Web 
Premium ist — wie der Name 
schon sagt — für Webdesign 
optimiert. Sie enthält kein In- 
design, dafür aber zusätzlich 
Adobe Contribute CS4, De- 
vice Central CS4 und die Au- 
diobearbeitungssoftware Adobe 
Soundbooth CS4. 

Adobe Creative Suite 4 Pro- 
duction Premium schließlich ist 
die Komplettlösung für Krea- 
tivprofis zur Erstellung von Vi- 
deo-, Audio- und interaktiven 
Inhalten für die Nutzung im 


Web, auf mobilen Endgeräten 
und zur TV-Ausstrahlung. Die 
Creative Suite 4 Production 
Premium enthält die neuen Ver- 
sionen von Adobes Video-, Au- 
dio-, Web- und Design-Lösun- 
gen Adobe After Effects CS4 
Professional, Premiere Pro CS4, 
Encore CS4, Photoshop CS4 
Extended, Illustrator CS4, Flash 
CS4 Professional, Soundbooth 
CS4 und Onlocation CS4, das 
jetzt auch die native Unterstüt- 
zung für Intel-Macs bietet. 

Neu in der Version 4 der 
Creative Suite ist vor allem der 
noch größere Stellenwert, den 
Flash einnimmt. Zum Beispiel 
kann die Designerin ein Layout 
in Indesign mit den interaktiven 
Gestaltungsmöglichkeiten von 
Flash CS4 Professional verbin- 
den, indem sie das Indesign- 
Dokument als XFL-Datei ex- 
portiert und dann in Flash CS4 
Professional öffnet, um Interak- 
tionen, Animationen und Navi- 
gationsmöglichkeiten zu ergän- 
zen. Auf diese Weise ist die 
praktisch nahtlose Gestaltung 
interaktiver Broschüren, dyna- 
mischer Präsentationen und von 
Online-Publikationen möglich, 
indem Seitenübergänge, inter- 
aktive Schaltflächen und Links 
zu einem Dokument hinzuge- 
fügt werden. Das lässt sich 
dann als SWF-Datei für die 
Wiedergabe im Adobe Flash 
Player oder als interaktive 
PDF-Datei exportieren. 

Dieter Michel 


iX-Umfrage: 
Google-Skepsis überwiegt 


Nur eine kleine Minderheit von 
12 Prozent steht den Plänen 
Googles, einen eigenen Web- 
browser herauszubringen, auf- 


Was halten Sie davon, dass Google seinen 
eigenen Webbrowser herausbringt? 


Super. Konkurrenz zu Microsofts 5 
Explorer ist immer gut. 102 | 


Cool. Google macht das 2% | 
Web für uns immer einfacher. 5 


Mal abwarten. Wenn der 
Google-Browser etwas taugt, 10% | 
werde ich ihn einsetzen. 


Nein danke. Das Daten- 


schutzgebaren von Google 46% Ei] 


ist mir zu undurchsichtig. 


Nichts. Schon das De-facto- 
Monopol als Suchmaschine 32% E 


schmeckt mir nicht. 


Gesamtstimmen: 900 (gerundet) 
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geschlossen gegenüber. So zu- 
mindest das Ergebnis der Um- 
frage, die parallel zu Ausgabe 
10/08 auf www.ix.de lief. Von 
diesen 12 % geht es den meisten 
auch um den Wunsch nach 
Konkurrenz für Microsoft. 
Immerhin 10 % der Antworten- 
den machen ihre Entscheidung 
von der Qualität des Browsers 
Chrome abhängig, mehr als drei 
Viertel haben Bedenken wegen 
der Monopolstellung oder des 
Datenschutzgebarens des Such- 
maschinengiganten. Die genaue 
Fragestellung zeigt die Grafik. 


Bei der nächsten Umfrage, die 
mit Erscheinen dieses Heftes 
startet, geht es um Outsourcing. 
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MARKT + TRENDS 


Embedded Systems 


Kontron kauft Intels Telko-Server-Sparte 


Zu einem nicht genannten Preis 
wird Intel seine Abteilung für 
Telekommunikationsserver an 
seinen bisherigen Kooperations- 
partner Kontron abtreten. Teil 
des sogenannten Asset Deals, 
bei dem ein Unternehmen alle 
Wirtschaftsgüter eines anderen 
erwirbt, sind die Fertigungsan- 
lagen in Columbia (South Caro- 
lina) und im malaysischen Pe- 
nang, die zusammen etwa 70 
Angestellte beschäftigen. 

Der Echinger Spezialist für 
Embedded Systems und In- 


dustrie-DV fertigt bereits Ad- 
vancedTCA- und MicroTCA- 
Blades (Telecom Computing 
Architecture) für die Tele- 
kommunikations-Branche und 
will mit den „Carrier Grade“ 
Rackmount-Servern sein Port- 
folio abrunden. Nach Schät- 
zungen von Kontron soll der 
neue Geschäftsbereich im 
nächsten Jahr einen Umsatz 
von 40 Millionen US-Dollar 
erzielen. Axel Urbanski 


Eixtink ix0811014 


Neue Industrie-Mainboards von FSC 


Um zwei neue Mitglieder er- 
weitert Fujitsu-Siemens sein 
Angebot an Industrie-Main- 
boards: das D2831-S im Micro- 
ATX-Format und das ATX- 
Board D2836-S. Beide eignen 
sich für den Dauerbetrieb bei 
Temperaturen zwischen O und 
60 °C. Als Basis dient Intels 
Q45-Express-Chipsatz, der mit 
den Prozessoren Core 2 Duo 
und Core 2 Quad zusammen- 
arbeitet. Vier Speichersockel 
nehmen maximal 16 GByte 
DDR2-800-SDRAM auf. 

Zur Standardausrüstung ge- 
hören unter anderem zwei Gi- 
gabit-Ethernet-Buchsen, sechs 
SATA-I-Ports, ein Floppy- 
Interface, ein serieller Port, HD- 
Audio sowie PS/2-kompatible 
Anschlüsse für Tastatur und 
Maus. Der integrierte Manage- 
ment-Controller beherrscht 
das Alert Standards Format 
(ASF 2.0) und bietet neben den 
üblichen Überwachungsfunk- 
tionen die Möglichkeit, eine 
individuelle Lüfterregelung zu 
programmieren. 


Leider besitzt die DirectX- 
10-fähige Onboard-Grafik nur 
einen VGA-Ausgang. Sechs 
USB-Buchsen sind von außen 
zugänglich. Intern stehen zwei 
weitere bereit, etwa für ein 
Lizenz-Dongle oder einen 
Flash-Speicher mit dem Be- 
triebssystem. Zwei weitere 
USB-Anschlüsse sind als Stift- 
leisten ausgeführt. Das Micro- 
ATX-Board D2831-S (siehe 
Abbildung unten) stellt einen 
PCI-Express-Slot mit 16 Lanes 
und doppelter Geschwindigkeit 
(PCIe 2.0), einen PCIe-4x-Slot 
sowie zwei 32 Bit breite PCI- 
Steckplätze zur Verfügung. 
Beim D2836-S kann der Ent- 
wickler zwei weitere PCI-Slots 
und einen dritten PCIe-Steck- 
platz (1x) für Erweiterungen 
nutzen. Muster beider Boards 
sind bereits verfügbar, die Se- 
rienproduktion des D2836-S 
soll Anfang November begin- 
nen, die des D2831-S Ende 
November. Axel Urbanski 


Eixtink ix0811014 


Quelle: FSC 


Strapazierfähig: Industrie-Mainboards wie das Micro-ATX-Board 
D2831-S von Fujitsu-Siemens halten erheblich mehr aus als 


normale Server-Boards. 
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Kompakter Industrie-PC unter Linux 


Nur 12x 10 x4 cm? und etwa 
380 g schwer ist die Tiny Box 
TB5200L von TQ-Compo- 
nents (www.tq-components. 
com). Herz des kleinen Indus- 
trie-PCs ist ein MPC5200-Pro- 
zessor von Freescale, der laut 
Hersteller bei einem Takt von 
400 MHz eine Rechenleistung 
von 760 MIPS bietet. Das 
Gerät verfügt über maximal 
128 MByte SDRAM und 32 
MByte Flash-Speicher. Ein 
Compact-Flash-Steckplatz er- 
laubt den Anschluss von bis zu 
64 GByte zusätzlichem Mas- 
senspeicher. 


Neben je zwei seriellen und 
CAN-Bus-Schnittstellen bietet 
die Tiny Box zwei USB-Host- 
ports (USB 1.1) und Ethernet 
(siehe Abbildung). Die externe 
Stromversorgung muss 15 bis 
30 V Gleichspannung und eine 
maximale Leistung von 10 W 
liefern. Als Standardbetriebs- 
system bietet der Hersteller Li- 
nux mit einem 2.6er Kernel an; 
auf Anfrage ist das Gerät auch 
mit dem SPS-Betriebssystem 
CoDeSys (Controller Develop- 
ment System) erhältlich. 


Eix-ink ix0811014 
E 
3 
o 
S 
Mini-Pinguin: 
Die Tiny Box TB5200L 


von TQ-Components läuft 
standardmäßig unter Linux. 


Atom N270 als Embedded-CPU 


Intel hat den Atom-Prozessor 
N270 und den dazu passenden 
Mobile Intel 945GSE Express 
Chipset in seine Embedded- 
Roadmap aufgenommen. Da- 
mit garantiert der Hersteller, 
dass die aus Netbooks bekann- 
ten Chips (siehe den Artikel 
„Winzigkeiten“ auf Seite 54) 
mindestens sieben Jahre lang 
lieferbar bleiben. Entwickler 
haben nun die Wahl zwischen 
beiden Varianten des Atom: 
dem Diamondville (N270) und 
dem kompakteren Silverthorne 
(Z5xx-Familie). 

Ersteren verwendet Kontron 
(de.kontron.com) auf seinem 
frisch angekündigten ETX-DC 
3.0 Computer-on-Module. Das 
mit Version 3 des ETX-Stan- 
dards (Embedded Technology 
eXtended) der EXT Industrial 
Group (www .ext-ig.com) kom- 
patible Board misst lediglich 
95 x 114 mm? und lässt sich 
einfach in die Schaltung des 
Kunden einstecken. Dank sei- 
ner geringen Leistungsaufnah- 
me von maximal 12 bis 15 W 
lässt es sich mit passiver 


Kühlung und in vollständig 
geschlossenen Gehäusen be- 
treiben. 

Den Löwenanteil von 6 W 
gönnt sich der Intel 82945GSE 
Graphics Memory Controller. 
Eine maximale Auflösung von 
2048 x 1536 Pixeln, ein 
LVDS-Anschluss für LCD-Pa- 
nels mit 1600 x 1200 Pixeln, 
ein TV-Ausgang für HD-Auf- 
lösung und Dual-Monitor-Be- 
trieb rechtfertigen jedoch sei- 
nen Energiehunger. Außerdem 
kann das Board mit High De- 
finition Audio und — optional 
— einem Trusted Platform 
Module (TPM 1.2) aufwarten. 
Neben den vom ETX-Standard 
geforderten Schnittstellen wie 
ISA, PCI und USB 2.0 findet 
sich auf der Platine ein AHCI- 
kompatibler SATA-I-Con- 
troller mit zwei Ports. Als 
Betriebssystem lassen sich 
Windows Vista, XP, XP Em- 
bedded und CE sowie Linux 
und VxWorks einsetzen. 

Axel Urbanski 


Eix-ink ix0811014 
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MARKT + TRENDS 


Internet 


eco-Kongress 2008 


Bunt gemischt 


Achim Born 


„Beyond the Borders” überschrieb der eco- 
Verband seinen diesjährigen Kongress. Der Slogan 
war etwas zu hoch gegriffen, da die Vorträge 
eigentlich keine Grenze sprengten. Dafür bekamen 
die Teilnehmer jedoch einen Eindruck davon, was 
Internetprovider & Co. derzeit bewegt. 


enn Ressourcen nicht 

mehr grenzenlos zur Ver- 
fügung stehen, bewegt sich das 
nachhaltige Haushalten auf der 
Prioritätenliste aufwärts. Den 
Auftakt des eco-Kongresses 
2008 bildeten daher vor über 
100 Teilnehmern die heutigen 
Anforderungen an Rechenzen- 
tren und Infrastruktur. Zu Be- 
ginn referierte Dieter Schramm, 
bei Dell in der Service-Sparte 
tätig, über das Rechenzentrum 
der Zukunft. Sein naturgemäß 
nicht herstellerneutrales Credo 
lautet „Simplify IT“ als Ansatz 
für eine effizientere IT. In Bei- 
spielrechnungen führte der 
Dell-Mann vor, wie sich das 
Verhältnis Gesamtstromver- 
brauch zu Verbrauch durch IT 
(aktuell: 3,3: 1) reduzieren lässt. 

Dabei plädierte Schramm 
aus Effizienzgründen unter 
anderem für die Versorgung 
der Rechner in den Rechen- 
zentren mit Gleichstrom, dis- 
kutierte des Weiteren die bes- 
sere Trennung kalter und 
warmer Luftströme nach dem 
Prinzip der freien Kühlung so- 
wie Virtualisierung, um schon 
die Zahl der Rechner zu ver- 
ringern. Eine Standardlösung, 
die zu allen Organisationen 
passt, konnte Schramm aber 
nicht nennen. Deshalb behalf 
er sich mit einem Allgemein- 
platz und empfahl, die Energie- 
effizienz zum Bestandteil der 
IT-Strategie zu machen. 

Die vom Dell-Mann grob 
skizzierten Gedanken zur Küh- 
lung führte Gerhard Leo Bütt- 
ner, Chef des Design Institut 
München, ausführlich und 
kompetent aus. Über 40 Jahre 
Erfahrung im RZ-Design und 
mehr als 400 Projekte belegen, 
dass er weiß, wovon er spricht. 
Ausführlich ging er auf die 
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Prinzipien der freien Kühlung 
und der Brennstoffzelle ein. 
Unterhalb einer Außentempera- 
tur von 14 °C und bei entspre- 
chender Auslegung des Frei- 
kühlregisters lässt sich das 
Kühlwasser ohne Einsatz der 
Kältemaschine so weit kühlen, 
dass es die angestrebten Raum- 
konditionen (22 °C, 50 % rel. 
Luftfeuchtigkeit) gewährleistet. 
Das bedeutet ei- 
ne Energieein- 
sparung von bis 
zu 70 %. 

Darüber hin- 
aus lassen sich 
echte „Minder- z 
kosten“ mittels 
Wärmerückgewinnung erzie- 
len, falls ganzjährig Nieder- 
temperaturverbraucher wie 
Heizung, Schwimmbad et ce- 
tera als Abnehmer zur Ver- 
fügung stehen. Zu beachten 
ist in jeden Fall der Verfüg- 
barkeitsaspekt. Denn so gut 
Brunnen für die Kühlung 
prinzipiell geeignet sind, be- 
darf es eines Reservesystems, 
wenn der Wasserspiegel zu 
stark fällt. 


Mangelware 


IPv4-Adressen 


Auf einen ganz anderen „Ver- 
brauchsaspekt“ machte Frank 
Orlowski, Director Business 
Development beim DE-CIX, 
mit Blick auf die Ressourcen 
aufmerksam. Entgegen der 
weitverbreiteten Meinung dro- 
he dem Internet weniger ein 
Engpass aufgrund des expo- 
nentiell wachsenden Verkehrs, 
dem die Investitionen im Netz 
nur linear folgen. Das eigent- 
liche Problem verursache der 
begrenzte IPv4-Adressraum. 


Am 29. September 2012 sei er 
aufgebraucht, werde die ak- 
tuelle Entwicklung fortge- 
schrieben. Mit IPv6 sei die 
Rettung seit geraumer Zeit 
verfügbar. Allerdings nutze 
kaum jemand unter den Provi- 
dern das neue Internetproto- 
koll. „Die meisten Provider 
wirken angesichts des zur 
Neige gehenden Adressraums 
recht unbekümmert“, bemerk- 
te der DE-CIX-Manager. An- 
scheinend fehle echter Lei- 
densdruck. Falls die Provider 
diese Haltung nicht ablegen, 
rechnet Orlowski im schlimms- 
ten Fall sogar damit, dass Un- 
ternehmen allein aufgrund ihres 
Adressraums akquiriert sowie 
deren Adressen versteigert 
werden. 

Im Rahmen der eco-Tagung 
durften acht Jungunternehmen 
ihre Geschäftsideen vorstellen. 
Die Präsentation erfolgte in der 
kurzweiligen Form des „Eleva- 
tor Pitch“: Die Vortragenden 
hatten nur vier Minuten Zeit 
für ihre Vorstellung. Beginnen 
durfte Hiogi (hiogi.de) mit ihrer 

Frage-/Antwort- 
Community auf 
SMS-Basis. Es 
folgte realisr. 
com, eine offene 
Plattform für die 
| Erstellung indi- 
vidueller „Cor- 
porate Communities“ sowie 
Kampagnen-Portale. Weiter 
ging’s mit dem im Juli gestar- 
teten Studijob24.de, einer Job- 
börse, die Familien und Un- 
ternehmen mit fachkundigen 
Studenten zusammenbringt, 
aber auch so simple Tätigkei- 
ten wie Babysitting vermittelt. 
Hinter Jimbo (de.jimdo.com), 
das mit den Samwer-Brüdern 
und United Internet über pro- 
minente Geldgeber verfügt, 
steckt ein Baukastensystem 
zum Erstellen eigener Home- 
pages. Juipidi (www jupidi.de) 
erweitert wiederum die boo- 
mende Phalanx der webbasie- 
renden Kontexttools. Der mo- 
bile Flirtingdienst will das 
altmodische Zettelschreiben ab- 
lösen und verknallten Teenies 
anonym die Kontaktaufnahme 
per SMS erleichtern. Town- 
kings.de soll dagegen Gleichge- 
sinnte einer Nachbarschaft zu- 
sammenbringen. Mindmeister 
(www.mindmeister.com) ist 
letztlich ein gehosteter Service 
für „Mind Maps“, grafische 
Darstellungen von Gedanken 
und Ideen. 


Den Abschluss bildete Qitera 
(www.gitera.com). Mit dem 
Dienst lassen sich per Klick die 
für den Nutzer wichtigen Dinge 
(Website, Video oder Produkte) 
im Internet sicher speichern und 
sich mit Personen, denen man 
den Zugriff einräumt, teilen. Ob 
einer der acht Unternehmun- 
gen tatsächlich die Aufzugfahrt 
zum großen Geld winkt, sei 
dahingestellt. Jedenfalls gaben 
die Vortragenden einen inter- 
essanten Überblick über ak- 
tuelle Ideen rund um Web und 
Communities. 


Am Gelde 
hängt doch alles 


Meldungen zur Finanzkrise und 
zum Zusammenbruch des Kre- 
ditmarktes füllen zurzeit die 
Gazetten. In Sachen (Video-) 
Content herrscht schon längere 
Zeit pekuniärer Mangel. Zu- 
mindest beklagte dies Ibrahim 
Evsan: „Zukunftsträchtige Ent- 
wicklungen verlagern sich auf- 
grund der mangelnden Investi- 
tionsbereitschaft nach Amerika. 
Diese Entwicklung finde ich 
nicht nur sehr traurig, sondern 
auch gefährlich“, so der Se- 
venload-Chef. In seinem Vor- 
trag zum Thema Web-TV 
malte er ein wenig erfreuli- 
ches Bild von der Zukunft der 
hiesigen Branche. Denn die 
fehlende finanzielle Unter- 
mauerung der Infrastrukturan- 
bieter hierzulande geht einher 
mit den wachsenden Quali- 
tätsansprüchen der Anwender. 
Verfahren wie HDTV bedeu- 
ten jedoch für Anbieter, dass 
sich der Bedarf an Übertra- 
gungs- und Serverkapazität 
verdoppelt. 


Content versus Kosten 


Bedauerlicherweise interes- 
sieren die Kosten auf Provi- 
der-Seite den Anwender we- 
nig, obgleich er vermehrt auf 
das Video im Internet zurück- 
greift. Evsan kann da nur 
neidvoll auf die USA verwei- 
sen, wo noch Investoren un- 
terwegs sind. Ein wenig Hoff- 
nung setzt er in Refinanzierung 
via Werbeeinnahmen, wie er 
auf der abschließenden Podi- 
umsdiskussion ausführte. Auch 
seine Mitdiskutanten frönen 
dem Prinzip Hoffnung, dass 
guter Content auch im Web 
2.0 den Nutzern einige Cents 
wert sein sollte. (un) 
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MARKT + TRENDS 


Internet 


iX-Veranstaltungen 


www. bekonferenz.de. 


Gleich drei „Calls for Papers“ 
gehen mit Erscheinen dieser 
Ausgabe online. Zum einen star- 
tet der Aufruf zum Einreichen 
von Vorträgen für das Cebit Fo- 
rum Software & Systems 2009. 
Denn auch im nächsten Jahr fin- 
det wieder die weltgrößte IT- 
Messe in Hannover statt, und 
zwar vom 3. bis 8. März. Das iX 
Cebit Forum präsentiert sich im 
neuen Gewand und mit Unter- 
ausstellern, Details finden Sie 
auf unserer Konferenz-Website. 


Der zweite CfP betrifft die Kon- 
ferenz zur IPv6-Einführung, 
die am 29. Mai in Frankfurt/M. 
stattfindet, mit Tutorials am 
Vortag. Es handelt sich dabei 
um eine Kooperationsveranstal- 
tung mit heise Netze; gesucht 
werden herstellerunabhängige, 
neutrale Vorträge (keine Wer- 
bung). Es sind ausdrücklich 
nicht nur „Success Stories“, 
sondern auch Darstellungen von 
negativen Aspekten oder ge- 
scheiterten Projekten erwünscht. 


Last but not least findet vom 5. 
bis 7. Mai 2009 in München 
wieder die Teamconf statt, die 
Konferenz zum Thema Visual 
Studio Team Systems, veran- 
staltet in Zusammenarbeit mit 
HLMC. Wer dazu einen Vor- 
trag einreichen möchte — der 
CfP ist eröffnet. 


Zwei Monate früher geht es um 
ein anderes Thema: Angriffe auf 
Webanwendungen häufen sich, 
und wirksame Schutzmaßnah- 


Ausgebaut: Der Attachmate- 
Geschäftsbereich NetIQ dehnt 
seine VoIP-Management-Lö- 
sung auf den Microsoft Office 
Communications Server 2007 
aus. Das Modul unterstützt 
das vollständige Management 
der VoIP-Nutzung mit der 
Kommunikationssoftware. 


Eingebunden: Produkte von 
Foundry Networks sind künf- 
tig standardmäßig auf die 
Unterstützung von IBMs Ti- 
voli-Netcool-Software vorbe- 
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men dagegen sind alles andere 
als trivial. Helfen kann ein Be- 
such des dreitägigen Seminars 
Angriffe auf Web-Applikatio- 
nen, das iX zusammen mit den 
Sicherheitsspezialisten von Ciro- 
sec veranstaltet — 17. bis 19. 
März in Frankfurt/M. 


Noch einen Monat früher geht es 
in Essen wieder los: Am 3. Fe- 
bruar starten neue Windows- 
Powershell-Seminare - drei 
Tage zu Microsofts mächtigem 
Kommandozeilenwerkzeug mit 
Peter Monadjemi und Holger 
Schwichtenberg. 


Und auch in diesem Jahr sind 
noch kurzfristig einige Veran- 
staltungen angesetzt worden. 
Wegen des großen Zuspruchs 
auf seine Keynote auf der Med- 
Conf 2008 hält Prof. Dr. Christi- 
an Johner am 16./17. Dezember 
2008 in Freiburg ein zweitägiges 
Seminar ab zum Thema Medizi- 
nische Software gesetzeskon- 
form entwickeln. Ebenfalls auf 
der MedConf entstanden ist der 
am 16. Dezember in Hamburg 
angesetzte Workshop Einsatz 
von modernen SW-Entwick- 
lungspraktiken in der Medi- 
zintechnik. 


Ein Abkömmling der Team- 
Conf wiederum sind die Einta- 
gesveranstaltungen mit Neno 
Loje, Einsteiger-Workshops 
zum Thema Visual Studio 
Team System und Team 
Foundation Server in Mün- 
chen (5.11.), Zürich (1.12.) und 
Frankfurt/Main (17.12.). De- 
tails dazu auf www.ix-konfe- 
renz.de und www.himc.de. 


reitet. Die Partnerschaft zwi- 
schen beiden Firmen ermög- 
licht, dass die Netzwerk- 
management-Software die 
Alarme der Switches und 
Router von Foundry in Net- 
cool/Omlnibus überwacht. 


Leichte Zunahme: In den 
ersten acht Monaten dieses 
Jahres wurden knapp 20 000 
IT-Stellen ausgeschrieben, 
sechs Prozent mehr als 2007. 
Das ermittelte der Personal- 
dienstleister Adecco in seiner 
regelmäßigen Stellenmarkt- 
analyse, in die IT-Jobangebote 
in 40 Tageszeitungen und der 
Computerwoche einflossen. 


Onlineradio: On demand statt live 


Einblicke in die Pläne der 
Deutschen Welle im Bereich 
Internet und Web 2.0 gab Hol- 
ger Hank, Leiter Neue Medien 
bei dem  traditionsreichen 
Funkhaus, auf dem eco-Kon- 
gress. Ungeachtet der Sensibi- 
lisierung der Kollegen für die 
neuen technischen Möglich- 
keiten postulierte er das Zu- 
sammenwachsen von Radio 
und Internet. Bei der digitalen 
Mediennutzung liegen zurzeit 


Podcasts vorn. Live-Streams 
machen den Ausführungen 
Hanks zufolge bei der Nut- 
zung des Onlineangebots der 
Deutschen Welle nur noch ei- 
nen ganz kleinen Part aus. 
Den Großteil des Datenver- 
kehrs verursachen inzwischen 
On-Demand-Downloads. Des- 
wegen werde der Live-Anteil 
im Radio heruntergefahren, da 
die Zukunft dem On-Demand 
gehöre. 


Vorratsdatenspeicherung abgewehrt 


Ein TK-Anbieter hat vor dem 
Verwaltungsgericht Berlin Kla- 
ge gegen die Einführung der 
Vorratsdatenspeicherung einge- 
legt. Er trug vor, dass die Art 
und Weise der Umsetzung die- 
ser Pflicht zur sechsmonatigen 
Speicherung von Telefon- und 
Internetdaten „unverhältnismä- 
Big und verfassungswidrig“ sei. 
Insbesondere weil die Anbieter 
nach dem Gesetz keine Auf- 
wandsentschädigung verlangen 


können, sei die gesetzliche Re- 
gelung rechtswidrig. Die Ver- 
waltungsrichter werden das 
Gesetz nun voraussichtlich ans 
Bundesverfassungsgericht zur 
Klärung dieser Rechtsfragen 
weiterleiten. Solange es von 
dort keine Entscheidung gibt, 
wird der klagende Anbieter 
wohl zunächst von der Ver- 
pflichtung zur Vorratsdaten- 
speicherung befreit. 

Tobias Haar 


Kein Schutz gegen illegale Downloads 


„Hilfssheriff Provider‘ lautete 
der Titel einer Vortragsreihe 
auf dem eco-Kongress zum 
Thema „Recht und Regula- 
rien“. Stefan Michalk, Ge- 
schäftsführer des Bundesver- 
bandes Musikindustrie, durfte 
an dieser Stelle für den fairen 
Ausgleich zwischen Kultur 
und Technik werben. 3,35 
Mio. Personen hätten hierzu- 
lande im vergangenen Jahr 
mehr als 3,3 Mio. Songs illegal 
heruntergeladen. Als Gegen- 
mittel bewarb er das Modell 
der „abgestuften Erwiderung“, 
wie es unter anderem in Frank- 
reich Gesetz werden soll. 
Potenzielle Konsequenzen 
für Unbelehrbare nannte Mi- 
chalk indes nicht. Dagegen 
warb er um die Gunst der Pro- 
vider. Denn auch sie würden 
vom Wegfall illegaler Down- 
loads profitieren, da sich die 
Kosten für den Netzausbau ver- 
ringerten, mehr Bandbreite für 
lukrative Pay-Angebote zur 
Verfügung stünde und eigene 
Onlineshops (etwa Musicload) 
gestärkt würden. In der ab- 
schließenden Diskussionsrun- 
de wurde indes deutlich, dass 
sich die Provider mit diesem 
Speck nicht so einfach ködern 


lassen. So nannte Oliver J. Sü- 
me vom eco-Vorstand das 
vorgeschlagene Warnhinweis- 
modell aberwitzig und daten- 
schutzrechtlich problematisch. 
Volker Grassmuck von der 
Berliner Humboldt-Universität 
bemerkte, bei stärkerem Druck 
würde vermutlich als Gegen- 
wehr auch die Verschlüsselung 
zunehmen. 

Der Medienwissenschaftler 
hatte zuvor als neues Verwer- 
tungsmodell eine Content- 
oder Kultur-Flatrate vorge- 
stellt, was so manchen Teil- 
nehmer doch stark an eine 
zweite Rundfunkgebühr er- 
innerte. Letztlich zeigten so- 
wohl die Podiumsdiskussion 
als auch die Vorträge, dass kei- 
ne tragfähige Lösung in Sicht 
ist. Es gibt vermutlich auch 
keine, solange die Musikindus- 
trie beinhart am Geschäftsmo- 
dell des CD-Verkaufs festhält. 
Letztlich wird sich aber auch 
die Musikindustrie der Tatsa- 
che stellen müssen, dass sie 
erst durch Technik möglich 
wurde und nun durch Technik 
wieder abgelöst wird. Online- 
Musikflatrates oder Apples Er- 
folg mit iTunes zeigen, dass es 
auch anders geht. 
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MARKT + TRENDS 


Recht 


Gerichte uneins über Auskunftsanspruch 


Seit September 2008 müssen 
Internetprovider auf Anfragen 
von Rechtsinhabern den hinter 
einer IP-Adresse steckenden 
Internetnutzer benennen, wenn 
ein Urheberrechtsverstoß in 
„gewerblichem Ausmaß“ vor- 
liegt. Wann ein Verstoß ge- 
werblich sein soll, hat das Ge- 
setz ausdrücklich offen gelassen 
und der Rechtsprechung über- 
lassen. Klar ist nur, dass sich 
dies nicht nur aus der Anzahl 
der Rechtsverletzungen, son- 
dern auch aus deren Schwere 
ergeben kann. Jetzt liegen die 
ersten Gerichtsentscheidungen 
vor. 

Das Landgericht Frankenthal 
(Az. 6 O 325/08) sieht erst ab 
rund 3000 Musiktiteln oder 
200 Filmtiteln ein gewerbli- 
ches Ausmaß. Die Richter 
orientieren sich an den Leitli- 
nien deutscher Generalstaats- 
anwaltschaften, die strafrecht- 


liche Ermittlungen erst bei die- 
sen Zahlen vorsehen. Demge- 
genüber haben die Richter an 
den Landgerichten Köln (Az. 
28 AR 4-08) und Düsseldorf 
(Az. 12 O 425/08) einen Aus- 
kunftsanspruch bereits bei nur 
einem Album als gegeben an- 
gesehen. Auch die Kammern 
der Landgerichte Bielefeld (Az. 
4 O 328/08), Oldenburg (Az. 5 
O 2421/08), Frankfurt/M. (Az. 
2-06 O 534/08) und Nürnberg 
(Az. 3 O 8013/08) lassen ein 
Album oder ein Hörbuch genü- 
gen. In Oldenburg reichte sogar 
die einfache Nutzung einer 
Tauschbörse. Ob hier bereits ei- 
ne „gewerbliche“ Tätigkeit vor- 
liegt, ist auf den ersten Blick 
doch sehr fraglich. Wie so oft 
wird sich diese unsägliche 
Rechtsunsicherheit aber erst 
dann auflösen, wenn die höchs- 
ten deutschen Gerichte darüber 
entscheiden. Tobias Haar 


Mehr juristisches Unheil für Rapidshare 


Das Hanseatische Oberlandes- 
gericht hat sich in einem mitt- 
lerweile rechtskräftigen Urteil 
(Az.5 U 73/07) in deutlichen 
Worten mit den Schwierigkei- 
ten von Rapidshare beim Ein- 
halten der Urhebergesetze 
auseinandergesetzt. „Ein Ge- 
schäftsmodell, das aufgrund 
seiner Struktur durch die Mög- 
lichkeit des anonymen Hoch- 
ladens in Pakete zerlegter, ge- 
packter und mit Kennwort 
gegen den Zugriff geschützter 
Dateien der massenhaften Be- 
gehung von Urheberrechtsver- 
letzungen wissentlich Vor- 


Schweiz billiger: Die Eid- 
genössische Kommunika- 
tionskommission (ComCom) 
hat eine Senkung der Preise 
verfügt, die Swisscom von 
ihren Wettbewerbern verlan- 
gen darf. Statt 23,50 Fran- 
ken darf sie künftig nur noch 
18,18 Franken pro Monat 
für die „letzte Meile“ ab- 
rechnen. 


Weniger Vorrat: Kleine 
Hotspot-Betreiber sind von 
der Vorratsdatenspeicherung 
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schub leistet, kann von der 
Rechtsordnung nicht gebilligt 
werden“, so die Richter in sel- 
tener Eindeutigkeit. Die Be- 
treiber von Rapidshare können 
sich auch nicht auf etwaige 
Erleichterungen bei der Prü- 
fungspflicht rechtswidriger In- 
halte berufen, wenn „der Be- 
treiber ihm zumutbare und 
nahe liegende Möglichkeiten, 
die Identität des Nutzers zum 
Nachweis einer etwaigen Wie- 
derholungshandlung festzu- 
stellen, willentlich und syste- 
matisch ungenutzt lässt“. 

Tobias Haar 


befreit. Die Bundesregierung 
sieht keine Speicherpflicht 
„für private Anbieter öffent- 
licher WLAN-Zugänge so- 
wie für Kleinbetriebe“ vor. 
Die Grenze zwischen diesen 
und protokollpflichtigen An- 
bietern ist derzeit aber noch 
unklar. 


Markenverletzung per Um- 
leitung: Wer eine fremde 
Marke als Domain verwen- 
det, begeht auch dann eine 
Markenverletzung, wenn dort 
nur ein „Redirect“ auf eine 
andere Domain startet 
(Oberlandesgericht Ham- 
burg, Az.5 W 102/07). 


E-Mail-Adresse allein genügt nicht 


Der Bundesgerichtshof (Az. I 
ZR 197/05) hat entschieden, 
dass niemand davon ausgehen 
darf, dass ein E-Mail-Nutzer 
mit dem Erhalt von Werbemails 
einverstanden ist, nur weil er 
seine Adresse auf einer Websei- 
te veröffentlicht. Gehen den- 
noch solche E-Mails an diese 
Adresse, liegt ein rechtswidri- 


ges Spamming vor. In der Ver- 
öffentlichung der Adresse liegt 
kein „stillschweigendes Einver- 
ständnis“, Werbung zu erhalten. 
Sie dient vorrangig — für jeden 
erkennbar — der Kontaktaufnah- 
me mit dem Betreiber der Web- 
seite und ist insbesondere im 
Impressum vorgeschrieben. 
Tobias Haar 


Abkommen gegen Produkipiraterie 


Von der Öffentlichkeit bislang 
kaum wahrgenommen, disku- 
tieren die Industrieländer der- 
zeit über ein internationales 
„Anti-Counterfeiting Trade 
Agreement“ (ACTA). Ziel die- 
ses Übereinkommens soll die 
Schaffung eines effizienten und 
sicheren Rechtsrahmens für die 
Bekämpfung von Produktpirate- 
rie sein. Die Beratungen finden 
unter Ausschluss der Offentlich- 
keit statt, was zivilgesellschaft- 
liche Organisationen aus aller 
Welt als Mangel an Transpa- 
renz und undemokratisch be- 
mängeln. Auf Bedenken stößt 
besonders, dass Lobbyisten, et- 
wa aus der Musik- und Soft- 
wareindustrie, bereits in die 
Ausarbeitung des Übereinkom- 
mens eingebunden sind. 


Eckpfeiler des Überein- 
kommens soll eine verstärkte 
internationale Zusammenar- 
beit beim Bekämpfen der Pro- 
duktpiraterie sein. Gegenstand 
der Verhandlungen soll auch 
die Art der Zusammenarbeit 
zwischen Internetprovidern 
und geschädigten Unterneh- 
men sein. Auch für die Zollbe- 
hörden soll es weitreichende 
Befugnisse geben. Das bereits 
in den USA eingeführte Recht, 
Medienträger von Reisenden 
an Grenzen durchsuchen und 
einbehalten zu dürfen, soll 
ebenso eingeführt werden wie 
eine strafrechtliche Verfolgung 
von Urheberrechtsverstößen 
auch dann, wenn keine Berei- 
cherungsabsicht vorliegt. 

Tobias Haar 


Watchblogs dürfen fremde Namen tragen 


Wer eine .com-Webseite in bö- 
ser Absicht registriert, an der 
registrierten Domain keine Na- 
mensrechte hat und Dritte über 
die Herkunft der Domain 
täuscht, den kann die World 
Intellectual Property Organisa- 
tion (WIPO) auf Antrag eines 
Namensrechtsinhabers zur Lö- 
schung der Domain zwingen. 
Jetzt ist eine solche Beschwer- 
de gegen den Inhaber eines 


Watchblogs aber gescheitert. 
Geklagt hatte der Finanzdienst- 
leister MLP gegen die Nutzung 
von „MLPwatchblog.com“ für 
eine Webseite. Die WIPO- 
Richter waren der Meinung, 
dass den deutschen Internet- 
nutzern klar sein müsse, dass 
sich hinter dem Begriff 
„watchblog“ gar nicht der Fi- 
nanzdienstleister selbst verber- 
gen muss. Tobias Haar 


Creative-Commons-Lizenzen 3.0 auf Deutsch 


Nach der Anpassung an inter- 
nationale Lizenzen und deut- 
sche Urheberrechtsreformen ist 
kürzlich Version 3.0 der Crea- 
tive-Commons-Lizenzen auf 
Deutsch erschienen. Diese 
Standardlizenzen beschreiben 
aus dem Open-Source-Gedan- 
ken abgeleitete Lizenzierungs- 
modelle für kreative Inhalte. 
Geschützte Werke stehen, 
wenn sie unter einer Creative- 
Common-Lizenz stehen, Drit- 
ten zur Nutzung zur Verfü- 


gung. Der Nutzer muss also 
nicht bei jeder einzelnen Ver- 
wendung beim Urheber um Er- 
laubnis nachfragen, solange er 
sich im Rahmen der Lizenz be- 
wegt. Die Lizenz gestattet nun 
— entsprechend den Gesetzes- 
änderungen — Nutzungsrechte 
auch für künftige, bei Lizenz- 
einräumung noch unbekannte 
Nutzungsarten. Andere Ände- 
rungen betreffen den Umgang 
mit gesetzlichen Vergütungs- 
ansprüchen. Tobias Haar 
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MARKT + TRENDS 


Systeme 


Suns Fire X4450 auf 24 Cores ausgebaut 


24 Prozessorkerne haben die 
x64-Server Sun Fire X4450 
und Sun Blade X6450 nun zu 
bieten. Die mit vier CPU-So- 
ckeln bestückten Rechner hat 
Sun mit Intels Xeon X7460 
(Codename Dunington) ins 
Programm aufgenommen. Der 
2,66 GHz schnelle Prozessor 
mit seinen sechs Kernen be- 
sitzt einen 16 MByte großen 
Level-3-Cache. 

Suns X4450 kam mit dem 
neuen Xeon beim SAP SD in 
die Ränge und hält derzeit 
Platz zwei hinter HPs ProLi- 
ant DL580 G5. In den SPEC- 
Charts liegt sie im CINT2006 


Aufgemotzt: Suns Fire X4450 
mit Intels Sechs-Kernern 
bestückt läuft mit 24 CPU-Cores 
und ist für Windows, Linux und 
Solaris zertifiziert. 


bei 22,0 (25,3), im CFP2006 
bei 22,3 (23,6) und schafft bei 
den Rates 266 (289) bezie- 
hungsweise 141 (150). Die 
Blade X6450, mit vier E7450 
ausgestattet, hat sich im 
CPU2006 mit 225 (241) 
CINT2006 Rates und 117 
(128) CFP2006 Rates hinter 
Dell und HP eingereiht (Peak 
in Klammern). Die Bench- 
marks kamen unter SLES10 
mit Intels Compilern in der 
Version 11 zustande. 

Für die x64-Server bietet 
Sun als Betriebssystem Linux, 
Windows Server und das 
hauseigene Solaris 10 an. Der 
Preis für eine X4450 mit vier 
X7460-CPUs (2,66 GHz), 24 
GByte Hauptspeicher und vier 
146 GByte großen SAS-Plat- 
ten liegt bei 18 900 €, der für 
eine X6450-Blade mit den- 
selben CPUs, aber nur 16 
GByte RAM, bei 15500 €. 


Eix-Uink ix0811022 


Intel präsentiert neue Version von vPro 


Das auf dem Q45 Chipsatz ba- 
sierende vPro soll Rechner 
umfangreicher verwalten als 
die bisherige Version vPro 2.0. 
Neben PCs können Systemad- 
mins Notebooks über das 
WLAN fernsteuern. Allerdings 
muss es an das Stromnetz an- 
geschlossen sein. Mit dem „IT- 
Director“ kann der Admin 
Rechner anhand ihrer MAC- 


Federwolken: Ein neues Be- 
triebssystem mit dem vorläufi- 
gen Namen Windows Cloud 
hat Microsoft-CEO Steve 
Ballmer auf einer Partner-Ver- 
anstaltung in London ange- 
kündigt. Noch im Oktober 
will Microsoft es der Öffent- 
lichkeit vorstellen. 


Am Fenster: Amazon hat für 
sein Elastic Compute Cloud 
(EC2) die Unterstützung von 
Microsofts Server und SQL 
Server als Datenbank bekannt 
gegeben. 


Rechenknechte: Microsofts 
Windows HPC Server 2008 
(HPCS) heißt der Nachfolger 
des bisherigen Windows Com- 
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Adressen selbst außerhalb der 
Firewall identifizieren und ver- 
walten. Die Basissoftware Ac- 
tive Management Technology 
liegt in der Version 5 vor. Über 
Sicherheitsroutinen kann der 
Admin vPro-Clients, die eine 
Bedrohung darstellen, automa- 
tisch isolieren. Nikolai Zotow 


Eixtink ix0811022 


puter Cluster Server 2003 
(CCS). Als Grundlage dient 
Windows Server 2008 in der 
64-Bit-Version. Wer sich bei 
Microsoft registriert, kann eine 
Version des HPCS 2008 zum 
Ausprobieren herunterladen. 


Wahlweise: Kunden von Sun 
dürfen wählen, ob sie deren 
Virtual Desktop Connector 
oder VMwares Virtual Desk- 
top Manager (VDM) mit der 
Virtual Desktop Infrastructure 
(VDI) einsetzen wollen. 
VMware hat Suns Ray Clients 
zertifiziert. Dazu soll es den 
kostenlosen Sun Ray Connec- 
tor for VDM geben. 


Dabeigeblieben: AMD kürt 
den Codename Fusion zum 

Markenzeichen des für 2009 
geplanten Kombi-Chips, der 


Adobe räumt sein Suites auf 


Zwar bleibt die Grundanord- 
nung der sechs Suites bei Ado- 
be nach der Integration der 
Makromedia-Produkte erhal- 
ten, aber im Einzelnen gibt es 
Veränderungen: In die Design 
Premium Suite ist Fireworks 
mit eingezogen, dafür setzte 
der Hersteller Golive zu Gun- 
sten von Dreamweaver auf die 
Straße. Beim internen Daten- 
austausch sprechen die An- 
wendungen nun XFL, in dem 
Adobes Flash-Format (FLA) 
einkapselt ist. 

Photoshop CS4 simuliert mit 
einer drehbaren Arbeitsfläche 
bei der Bildbearbeitung den 
Umgang mit herkömmlichem 
Papier und bietet ein Werkzeug 
zum Beschneiden von Bildern, 
das relevante Teile automa- 
tisch verschonen soll. 

Die Version für 64-Bit-Win- 
dows-Vista kommt in dem Ge- 
nuss von mehr Arbeitsspei- 
cher; Macianer müssen auf die 
nächsten Photoshop-Version 


warten. „Preflight“ findet der 
Publisher auf seinem Desktop, 
es klopft mit der Indesign- 
Funktion bereits dem Layouter 
auf die Finger. 

Alle CS4-Anwendungen 
laufen unter Mac OS X und 
Windows XP/Vista. Photoshop 
CS4 gibt es für 1011 Euro, die 
Design-Premium-Suite inklusi- 
ve Photoshop Extended, Illus- 
trator, Flash Professional, Dre- 
amweaver, Fireworks (alle 
CS4) sowie Acrobat 9 Pro kos- 
tet 2617 Euro. Die Video- 
schnitt-Suite Production Pre- 
mium mit neuen Versionen 
von AfterEffects, Premiere 
Pro, Illustrator, Flash Profes- 
sional und Photoshop Exten- 
ded, schlägt mit etwa 2500 Eu- 
ro zu Buche, für die Master 
Collection mit allen CS4-Pro- 
dukten nebst Acrobat 9 Pro 
muss man 3569 Euro auf den 
Tisch legen. 


Eix-ink ix0811022 


Citrix’ XenServer hochverfügbar 


Marathon Technologies’ Soft- 
ware Everrun ist fester Be- 
standteil der neuen Version des 
XenServers von Citrix mit 
Codenamen Orlando. Es gibt 
vier Stufen: HA für einfache 
Hochverfügbarkeit, FT für feh- 
lertolerante Systeme, Splitside 
für große Entfernungen zwi- 
schen den HA-/FT-Servern und 
CDP & DP für Datensicherheit 


Grafik- und Hauptprozessor 
vereint. Das umfasst auch das 
Konzept, die Prozessoren für 
andere Zwecke, etwa zum 
Number Crunching, zu nutzen. 


Rechenexempel: Für 99 US- 
Dollar können Interessenten 
bei IBM ein Testdrive mit Mi- 
crosofts Windows HPC Server 
2008 mieten und aus der Ferne 
darauf zugreifen. Die Probe- 
fahrt findet auf 14 bis 16 Kno- 
ten in IBMs Bladecentern oder 
System-x-Servern auf Xeon- 
CPUs statt. Außerdem will 
IBM die 3D-Visualisierung 
Deep Computing Visualisation 
(DCV) für Nutzer des On-De- 
mand-Angebotes bereitstellen. 


Wolkenfrei: Oracle hat seine 
Datenbank 11g, Fusion Midd- 
leware und den Enterprise 


im WAN. Die letzten drei Op- 
tionen sind nach wie vor als Zu- 
satzprodukt erhältlich. EverRun 
VM Lockstep Level Drei soll 
im ersten Quartal 2009 folgen 
und auf Betriebssystemebene 
Applikationen, die nicht ausfal- 
len dürfen (Zero Downtime), 
vor Fehlfunktionen schützen. 


Eix-ink ix0811022 


Manager für Amazons EC2 
zertifiziert und liefert dazu 
frei erhältliche Amazon Ma- 
chine Images (AMlIs). Lizenz- 
inhaber dürfen die zertifizierte 
Software ohne Zusatzkosten 
in EC2 verwenden. Darüber 
hinaus hat Oracle Secure 
Backup Cloud entwickelt, das 
aus den beiden Produkten Pre- 
mier Tape Backup Manage- 
ment und Secure Backup von 
Oracle hervorgegangen ist. 


Kleinzeichner: S3 Graphics 
bringt mit seinen Grafikpro- 
zessoren der Serie Chrome 
400 ULP (Ultra Low Power) 
HD-Videos und DirectX-10.1- 
Spiele selbst auf die kleinsten 
mobilen Geräte und braucht 
dabei weniger als 7 W. 
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VMware bringt 
Workstation 6.5 


Zu den besonderen Neuerun- 
gen von VMwares Worksta- 
tion 6.5 gehört Enhanced Exe- 
cution Record/Replay. Das 
Werkzeug erlaubt es, das ge- 
samte Systemverhalten inklusi- 
ve CPU- und Geräteaktivität 
aufzuzeichnen sowie zu belie- 
bigen Zeitpunkten Marker zu 
setzen. 

Mit Unity können Anwender 
Fenster laufender Applikatio- 
nen einer VM nutzen, als ob sie 
auf dem Host liefen. Anwen- 
dungen auf Windows-VMs 
können DirectX9 bis ein- 
schließlich Shader Model 2 
benutzen. Virtual Machine Stre- 
aming verleiht Workstation 6.5 
die Fähigkeit, VMs von einem 
Webserver schon während des 
Downloads laden und einschal- 
ten zu können. Mit Enhanced 
ACE Authoring (Assured Com- 
puting Environment) kann der 
Nutzer Sicherheitsoptionen wie 
Verschlüsselung, Gerätekon- 
trolle und restriktiven Netz- 
werkzugang direkt aus der Ap- 
plikation heraus konfigurieren. 
Damit erübrigt sich eine spe- 
zielle ACE-Edition. 


Eix-ink ix0811022 


Lenovo übernimmt 
ThinkServer 


IBMs ThinkServer gibt es nun 
bei Lenovo mit Windows Ser- 
ver 2008 oder SLES 10. Der 
TS100 Tower und der RS110 
fürs Rack sind mit Xeon- oder- 
Core-2-Duo-CPUs und 8 GByte 
Hauptspeicher bestückt, die 
beiden Tower-Modelle TD100 
und TD100x sowie der Rack- 
Server RD120 arbeiten nur 
mit Xeons und können bis zu 
48 GByte Hauptspeicher auf- 
nehmen. 

Zur Verwaltung sind dabei: 
ThinkServer EasyStartup zum 
Einrichten, ThinkServer Easy- 
Update und ThinkServer Easy- 
Manage, das in Kooperation 
mit Landesk entstand. Erhält- 
lich sind die Server ab 870 Eu- 
ro für den TS100 (Xeon 
E3110,3 GHz,2 GByte RAM) 
und 3410 Euro für den RD120 
mit zwei Quad-Core-Xeon Typ 
E5450 (3 GHz) und 4 GByte 
Hauptspeicher. 
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Statistiksoftware von SPSS in der Version 17.0 verfügbar 


In der Version 17.0 seiner 
Software-Suite Statistics hat 
SSPS eine Reihe von Neuerun- 
gen eingebaut. Nicht nur bei 
der Darstellung von Tabellen 
und der grafischen Präsenta- 
tion haben die Entwickler bei 
SPSS Hand angelegt, sondern 
vor allem bei den Analyse- 
Verfahren die Bedienung ver- 


einfacht. Durch die Verbesse- 
rungen sollen selbst Anfänger 
mit der Software zurechtkom- 
men. Experten hingegen dürf- 
ten vom erweiterten Funktions- 
umfang profitieren. 

Eine einfaches Drag & Drop 
erlaubt, es Darstellungen und 
Ergebnisse verständlich zu prä- 
sentieren, ohne dazu eine Pro- 


grammiersprache nutzen zu 
müssen. 

Die Integration der Predic- 
tive Enterprise Services und 
des Analytics Mining unter- 
stützt vor allem die Bearbei- 
tung von Daten im Unterneh- 
men. Weitere Details sind 
unter www.spss.com/de/spss 
17 zu finden. 


23 


© Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. 


MARKT + TRENDS 


DMS-Messe 


DMS Expo: Zeit für das Wesentliche 


Bodenständig 


Achim Born 


Konzentration auf das Kernthema, ein weitgehend 
traditionelles Rahmenprogramm - die diesjährige 
Messe und Konferenz für Enterprise-Content- und 
Dokumentenmanagement lief im gewohnten Trott. Das 
jedoch ist nicht zwangsläufig schlecht. 


ir bieten mit der DMS 

Expo eine zentrale Platt- 
form für integrierte DMS, von 
der Erstellung über die Vertei- 
lung bis hin zur Ablage und 
Archivierung digitaler Doku- 
mente.“ Der Satz im Ab- 
schluss-Statement von Oliver 
Kuhrt, Chef der Koelnmesse 
GmbH, beschreibt das Ge- 
schehen während der dreitägi- 
gen DMS Expo. Wer sich für 
die digitalisierte Informations- 
versorgung interessiert, kam 
am Besuch der Kölner Spezial- 
messe nicht vorbei, denn im 
Unterschied zu früheren Veran- 
staltungen waren die Anbieter 
von Enterprise-Content-Ma- 
nagement- und Dokumenten- 
managementsystemen (ECM/ 
DMS) nahezu vollständig ver- 
treten. Darunter sogar Google, 
Samsung und Oracle. 

Wie in der Vergangenheit 
gab es ein breit gefächertes 
Rahmenprogramm, das alle 
Facetten der ECM/DMS ein- 
schließlich Langzeitarchivie- 
rung von PDF-Dokumenten 
(PDF/A) sowie digitaler Post- 
bearbeitung bediente. Die Vor- 
träge, Diskussionsrunden und 
Workshops trafen auf reges 
Interesse der Messebesucher, 
der zum Teil große Andrang 
belegte das überzeugend. Im 
Mittelpunkt der Vorträge stan- 
den in erster Linie pragmatische 
Aspekte. Vielfach leisteten die 
Redner Aufklärungsarbeit (et- 
wa zur digitalen Steueraußen- 
prüfung). Glaubt man einer 
Umfrage des VOI (Verband Or- 
ganisations- und Informations- 
systeme), dem ideellen Träger 
der Messe, ist dies dringend ge- 
boten. Denn nach einer vom 
Verband im vergangenen Jahr 
durchgeführten Untersuchung 
haben erst 25 % der Unterneh- 
men die Bedeutung und den 
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Nutzen eines DMS vor dem 
Hintergrund gesetzlicher Re- 
gularien wie GoBS (Grundsät- 
ze ordnungsmäßiger DV-ge- 
stützter Buchführungssysteme) 
oder GDPdU (Grundsätze zum 
Datenzugriff und zur Prüf- 
barkeit digitaler Unterlagen) 
erkannt. 


Compliance 
liegt im Trend 


Die richtlinien- und gesetzes- 
konforme Dokumentenverwal- 
tung, kurz Compliance, dräng- 
te sich auf vielen Ständen in 
den Vordergrund. Ein anderes 
auffälliges Thema: MOSS 
(Microsoft Office Sharepoint 
Server) — oder präziser die 
Kooperation mit dem Produkt. 
Beispielsweise vervollständi- 
gen Hersteller wie D.velop 
oder ELO ihre MOSS-Offerten 
um eine zentrale Ablage- und 
Archivierungskomponente. Mi- 
crosoft selbst stellte den Office 
Sharepoint Server 2007 als zer- 
tifizierte Lösung vor, die dem 
hiesigen Handels- und Steuer- 
recht entspricht. In einer Bei- 
spielkonfiguration komplet- 
tierten das M-Archive for 
Sharepoint 2007 von Merentis 
und Netapps Speichersystem 
FAS270 den Server. 
Ansonsten gab es kaum 
Veränderung zum Vorjahr, 
sieht man von produktbezoge- 
nen Neuerungen einmal ab. 
Anscheinend hat die Messe 
den Schwung, den sie im letz- 
ten Jahr aufgrund des Wech- 
sels an den Rhein ausstrahlte, 
ein wenig eingebüßt. Mit rund 
19 200 Fachbesuchern sowie 
362 Ausstellern aus dreizehn 
Ländern konnte man nicht 
ganz das Vorjahresergebnis er- 
reichen. (jd) 


Content-Management als Service 


Hyperwave präsentierte mit 
der Appswave-Linie eine ge- 
hostete Mietsoftware. Verfüg- 
bar ist ein Konferenzsystem, 
das Instant Messaging und 
Ad-hoc-Meetings inklusive 
VoIP- und Video-Funktion 
bietet. In Vorbereitung befin- 
det sich eine Content-Manage- 


Alternative: CMS-Anbieter 
Alfresco zeigte eine Imple- 
mentierung der Sharepoint- 
Services, über die Anwender 
von Microsofts Office-Pro- 
dukten auf das Repository 
des Open-Source-CMS zu- 
greifen können. Möglich ist 
dies, weil Microsoft die ent- 
sprechenden Protokolle auf 
richterlichem Druck offen- 
legen musste. 


Personalverwaltung: Open 
Text führte die Version 2.0 
von Employee Information 
Management vor. Dahinter 
verbirgt sich eine elektroni- 
sche Variante der Personal- 
akte, die speziell für das bi- 
direktionale Zusammenspiel 
mit SAPHCM (Human 
Capital Management) konzi- 
piert wurde. Neu in der Ver- 
sion 2.0 ist die Unterstützung 
von SAP ESS (Employee 
Self Service) und MSS 
(Manager Self Service). 


Zusammengelegt: ASG 
Software, Spezialist für Ar- 
chivierung und Records-Ma- 
nagement, und Hitachi Data 
Systems verkündeten ihre 
Zusammenarbeit. Die ge- 
meinsame Lösung bündelt 
die Archivierungssoftware 
ASG-Viewdirect mit dem 
Speichersystem Hitachi 
Content Archive. 


Multilingual: Across Sys- 
tems und Straker Interactive 
führten ein gemeinsames 
Produkt zum Webseiten-Er- 
stellen und -Übersetzen vor. 
Beim Neubau einer Webseite 
schickt ShadoCMS von Stra- 
ker die Inhalte automatisch 
zum Across Language Ser- 
ver. Der übersetzt den Input 
und übergibt ihn anschlie- 
Bend wieder an das Content- 
Management-System. 


ment-Software, mit der An- 
wender ohne HTML-Kennt- 
nisse Webseiten erstellen kön- 
nen sollen. Voraussichtlich 
zum Jahresende will man zu- 
dem mit Insync ein Programm 
für die zentrale Dokumenten- 
und E-Mail-Archivierung ver- 
öffentlichen. 


Trittbrettfahrer: Selbst war 
SER nicht vor Ort, stellte 
aber pünktlich zur DMS Ex- 
po seine Produktsuite Doxis4 
vor. Das Dokumentenmana- 
gementsystem enthält nun al- 
les, was marketingmäßig en 
vogue ist: eine J2EE-basierte 
serviceorientierte Architektur 
mit Content Service Bus, In- 
tegrationsfähigkeit mit Dritt- 
systemen durch Webservice- 
Interfaces sowie Rich Clients 
für Windows und Web. 


Dezentral-zentral: NSi zeig- 
te seinen Quickcapture Scan- 
Client, mit dem sich Desk- 
top- oder Produktionsscanner 
in DMS-Lösungen integrie- 
ren lassen. Den Client kann 
man sowohl in zentralen als 
auch in dezentralen Scan- 
Szenarien einsetzen. 


Leistungsshow: IBM-Toch- 
ter Cognos hatte die Version 
9.4 von TMI im Gepäck. Die 
Performance- und Control- 
ling-Managementsoftware, 
die auf einem In-Memory- 
OLAP-Server (Online-Ana- 
lytical-Processing) basiert, 
analysiert Geschäftsdaten in 
großen Volumina. In der 
neuen Version hat Cognos 
die Vorlagenerstellung, etwa 
für Reports, erheblich verein- 
facht und die Integrationsfä- 
higkeit mit Excel ausgebaut. 


Geschäft messen: IDS 
Scheer bringt die Release 
4.1.2 des Aris Process Per- 
formance Manager (PPM) 
heraus. Durch die Integration 
der Minitab-Statistik-Soft- 
ware lässt sich das Tool zum 
Messen von prozessorientier- 
ten Kennzahlen sowie im 
Controlling auch in Six- 
Sigma-Projekten nutzen. 
Darüber hinaus steht mit 
dem Query Web Service eine 
Schnittstelle zur Verfügung, 
die Daten online aus ARIS 
PPM extrahiert und in andere 
Applikationen einbettet. 
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Schon der frühere Eigner deu- 
tete wiederholt eine künftige 
On-Demand-Version der Un- 
ternehmenssoftware Semiramis 
an. Installiert im IBM Rechen- 
zentrum, bietet SoftM die in 
Java programmierte ERP-Soft- 
ware nun als Service über das 
Internet an. Semiramis On De- 
mand geht ab 6. Oktober in 
den Vertrieb, den Echtbetrieb 
will man im Folgemonat auf- 
nehmen. Die Vermarktung 
übernehmen exklusiv die Se- 
miramis-Partner, die auch Cus- 
tomizing-Dienstleistungen lie- 
fern. Preis pro Nutzer und 
Monat: ab 113 Euro. 


Die Enterprise-Content-Ma- 
nagement-Software (ECM) 
Fabasoft Folio 2007 des gleich- 
namigen Linzer Softwarehau- 
ses stellt Dokumente und Daten 
in einem geschäftsbezogenen 
Kontext dar. So soll der Nutzer 
jederzeit Informationen zum 
Status der Geschäftsprozesse 
erhalten, etwa in Bezug auf 
rechtliche Anforderungen. Die 
Bedienoberfläche des neuen 
Folio steht als Browser-Varian- 
te und als Windows-Client zur 
Verfügung. Serverseitig arbeitet 
das Produkt mit Windows oder 
Linux. Als Datenbanksystem 
erwartet die ECM-Software 
einen SQL Server, Oracle oder 
PostgreSQL in der Fabalabs 
Edition. 


Transparenz in die 
Geschäftsprozesse 


Mit M3O Operations Book 
komplettiert Vitria seine gleich- 
namige Suite. Das Modul ver- 
knüpft Funktionen aus Business 
Intelligence (BD), Business Ac- 
tivity Monitoring (BAM) und 
Complex Event Processing 
(CEP) in einer Lösung. Anwen- 
der in den Fachabteilungen sol- 
len darüber eine Vorstellung 
über die Qualität laufender Ge- 
schäftsprozesse erhalten. Dies 
ermöglicht ihnen, bei Abwei- 
chungen von den Sollwerten 
unmittelbar einzugreifen. Hier- 
zu stellt die Komponente um- 
fangreiche analytische Funktio- 
nen bereit. 
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Werkzeug für elektronische Beweisführung 


IBM stellte seinen eDiscovery 
Manager vor, ein Tool für die 
gerichtsverwertbare Auswer- 
tung von E-Mails. Jedes Unter- 
nehmen, das eine Geschäfts- 
tätigkeit in den USA ausübt, 
muss diese Anforderung für 
US-amerikanische Zivilprozes- 
se (Federal Rules of Civil Pro- 
cedure, FRCP) erfüllen. Die 


Dokumente liegen in DB2- 
Content-Manager- oder File- 
net-P8-Archiven, die zuvor mit 
IBM Commonstore oder dem 
Filenet E-Mail Manager aus 
den Exchange- oder Domino- 
Mailsystemen erstellt wurden. 

In Kürze will IBM dem 
eDiscovery Manager eine 
Analysekomponente zur Seite 


stellen, die E-Mails automa- 
tisch nach potenziell relevan- 
ten Sachverhalten durchforstet. 
Der Manager ist Nachfolger 
der E-Mail-Suche aus Com- 
monstore für Lotus Domino 
und Exchange Server. Und hin- 
ter der Analysekomponente 
steckt eine Spezialvariante der 
Omnifind-Suchmaschine. 
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Diverses 


Bitkom sieht zu wenig E-Government für Unternehmen 


Öffentliche Verwaltungen bie- 
ten Unternehmen in Deutsch- 
land zu wenig digitale Zugänge 
an, wie Bitkom in einer Studie 
feststellt. Demnach haben im 
Jahr 2007 nur 56 Prozent der 
Unternehmen hierzulande sol- 
che Behördenangebote genutzt 
— das bedeutet Platz 21 im Ver- 
gleich aller 27 Länder der euro- 
päischen Union. Den Spitzen- 
platz belegt Finnland (90 %), 
gefolgt von Irland (89 %), Dä- 
nemark (88 %), Luxemburg und 
der Slowakei (je 85 %). 

Als Ursache kritisiert der 
Branchenverband eine fehlen- 
de Durchgängigkeit der ohne- 
hin zu wenigen Angebote. Es 


müsse den Unternehmen leich- 
ter gemacht werden, mit Be- 
hörden digital zu kommunizie- 
ren, lautet die Forderung. 

Außerdem erinnere die Re- 
alisierung der EU-Dienstleis- 
tungsrichtlinie (EU-DLR) der- 
zeit an Kleinstaaterei. So sind 
die Planungen der Bundeslän- 
der derzeit unterschiedlich, an 
welcher Stelle der geforderte 
einheitliche Ansprechpartner 
anzusiedeln ist: bei den Kom- 
munen, auf Kreisebene, bei 
den Kammern oder einer neu 
zu schaffenden Anstalt öffent- 
lichen Rechts. 

Der einheitliche Ansprech- 
partner soll die Anliegen von 


Unternehmen und Privatperso- 
nen über Verwaltungs- und 
Zuständigkeitsgrenzen hinweg 
erledigen. Wie die neu einzu- 
führenden Geschäftsprozesse 
zu modellieren sind, hat das 
Institut für Wirtschaftsinforma- 
tik der Humboldt-Universität 
zu Berlin kürzlich in einem 
Bericht mit Empfehlungen für 
die IT-Umsetzung der EU- 
DLR vorgelegt. Die Ergeb- 
nisse des Forschungsprojekts 
„Prozessblaupause für die IT- 
Umsetzung der EU-Dienstleis- 
tungsrichtlinie“ stehen zum 
Download zur Verfügung auf 
www .prozessbibliothek.de. 
Barbara Lange 


Reputation von Mail-Versendern zentral eingeschätzt 


Der Verband der deutschen 
Internetwirtschaft eco und 
Bizanga haben ein Abkom- 
men geschlossen, in dessen 
Rahmen die vom eco verwaltete 
Absender-Whitelist Certified 
Senders Alliance (CSA) Ein- 
gang in Bizangas Reputations- 
datenbank findet. Sie sammelt 
laufend Informationen über IP- 
Adressen und Domains von 
Mail-Absendern und dient dem 
schnellen Austausch dieser In- 


formationen zwischen Provi- 
dern für gemeinsame Abwehr- 
maßnahmen. Die Aufnahme der 
CSA-Positivliste soll Fehlein- 
schätzungen von seriösen Wer- 
bemails als Spam reduzieren. 
Die Datenbankserver sollen 
direkt im vom eco betriebenen 
zentralen Internet-Verkehrs- 
knotenpunkt DE-CIX in 
Frankfurt unterkommen. Für 
neue Teilnehmer des Systems 
bietet Bizanga ein „Schnell- 


starterpaket“ an. Benutzer der 
Datenbank können Daten über 
ihre eigenen Verbindungen 
eingeben und die zur gemein- 
samen Verfügung bereitge- 
stellten Daten anderer Benut- 
zer abfragen. Da Spammer 
häufig Mailhosts und ver- 
seuchte PCs in vielen Netzen 
zugleich nutzen, verspricht das 
gemeinsame Vorgehen eine 
schnellere Spam-Erkennung 
und -Abwehr. 


E-Mail-Filterung als Managed Service für Großabnehmer 


Eleven aus Berlin hat eine 
neue Version seines E-Mail- 
Filterdienstes eXpurgate vor- 
gestellt. Mit einer um den Fak- 
tor 10 auf über 1000 E-Mails 
pro Sekunde gesteigerten Fil- 
terkapazität richtet sich die 
Version 3.0 laut Eleven an 
Carrier, öffentliche Einrich- 
tungen und „Unternehmen je- 
der Größe“. 


Zu den weiteren Neuerun- 
gen gehört die Unterstützung 
von Bounce Address Tag Va- 
lidation (BATV) zum Schutz 
vor unerwünschten Rückläu- 
fern von Spam-Mails, deren 
Zahl in jüngster Zeit drastisch 
gestiegen ist. 

eXpurgate 3.0 gibt es wahl- 
weise als „Managed Service“ 
oder als Software. Beim Ma- 


naged Service filtern Eleven- 
Server die E-Mails und leiten 
nur die als erwünscht klassifi- 
zierten an den Kunden weiter. 
eXpurgate steht auch als SDK 
für die Einbindung des Filters 
in Produkte und Anwendun- 
gen des Kunden zur Verfü- 
gung. Die Erkennungsrate des 
Filters beziffert Eleven auf 
über 99 Prozent. 


Grün und konvergenzorientiert: Systems 2008 


Am 21. Oktober eröffnet die 
Münchner Systems für vier Tage 
ihre Pforten, die zweitgrößte 
deutsche IT-Messse, die sich im 
Untertitel als „Entscheidermesse 
für IT, Media und Communica- 
tions“ beschreibt. Nüchterner 
ausgedrückt geht es um eine 
B2B-Messe mit regionalem 
Schwerpunkt, die zwar in den 
letzten Jahren unter stetigem 
Schwund litt, aber 2007 immer- 
hin noch mehr als 40 000 Besu- 
cher verzeichnete. 


Dieses Jahr verteilt sich die Aus- 
stellung auf fünf Hallen: In den 
Hallen Al und A2 geht es um 
„Software Solutions“, in Bl ist 
der Bereich „Communications & 
Networking“ zu finden, Halle B2 
ist mit „Systems Integrations & 
Services“ überschrieben. Die zum 
zehnten Mal stattfindende IT-Se- 
curity-Area schließlich bestimmt 
das Geschehen in Halle B3. Neue 
Schwerpunkte in München sind 
Green IT und Unified Commu- 
nications, was sich auch in auf 


diese Themen ausgerichteten 
Sonderveranstaltungen ausdrückt. 


Weitere Informationen und On- 
lineanmeldung: www .systems.de 


SYSTEMS 


21-24 October 2008 
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Sicherheit 


Schwachstellen in Datenbanken finden 


Nach Sicherheitslücken speziell 
in Datenbanken sucht die neue 
Vulnerability-Appliance For- 
tiDB-1000B, die der Hersteller 
Fortinet als die erste einer Serie 
vorstellt. Dazu zählen etwa 
Schwachstellen in Passwörtern, 
Zugriffsberechtigungen und 
Konfigurationen von Datenban- 
ken. Auch warnt die Appliance 
Systemadministratoren vor po- 
tenziellen Bedrohungen und 
gibt Hinweise zur Erfüllung re- 
gulatorischer oder branchenspe- 


zifischer Pflichten — Stichwort 
„Compliance“. Sie ist einsetz- 
bar in heterogenen Umgebun- 
gen mit Oracle, DB2, Sybase 
und SQL. FortiDB-1000B kann 
bis zu 30 Datenbanken gleich- 
zeitig handhaben, die nächsten 
beiden Versionen sollen 10 
beziehungsweise 60 Daten- 
bankinstanzen managen. Eine 
Softwareversion für große Un- 
ternehmen mit mehreren Tau- 
send Datenbanken ist bereits 
verfügbar. 


Zutrittskontrolle und Zeiterfassung per Handy 


Sorex Wireless stellt zur Si- 
cherheitsmesse „Security Es- 
sen“ das System „Wireless 
Key“ vor, das Bluetooth-fähige 
Handys in Türschlüssel ver- 
wandelt (www ..sorex-austria. 
com). Das System besteht aus 
einem 12 x 12 Zentimeter gro- 
ßen Hardwaremodul für die 
Montage auf der Innenseite ei- 
ner Tür. Administratoren kön- 
nen die über IP erreichbaren 
Module zentral verwalten und 


Verschlüsselung I: PGP ver- 
öffentlicht sein Produkt PGP 
Command Line in einer nati- 
ven Version für Mainframes 
der IBM zSeries. Damit kön- 
nen Systemverantwortliche 
vertrauliche Daten direkt auf 
Großrechnern mit dem Be- 
triebssystem z/OS verschlüs- 
seln, ohne sie vorher auf ein 
anderes System transferieren 
zu müssen. 


Verschlüsselung II: UM 
Labs (www .um-labs.com), 
Anbieter von Sicherheitspro- 
dukten für Unified Messa- 
ging und VoIP, hat Phil 
Zimmermanns ZRTP in 
seine Produkte integriert. 
ZRTP ist eine Erweiterung 
des Datenübertragungspro- 
tokolls RTP, es verschlüsselt 
Sprach- sowie Videoströme. 
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pro Tür bis zu 2500 Handys 
registrieren. Am Mobiltelefon 
selbst sind keine Veränderun- 
gen erforderlich. Nach Anga- 
ben des Herstellers wird nur 
bei der ersten Anmeldung ein 
128-Bit-verschlüsselter Auto- 
risierungscode ausgetauscht. 
Die Tür öffnet sich, wenn sich 
das Handy nähert. Einstellbar 
sind Distanzen von wenigen 
Zentimetern bis 14 Metern. 
Barbara Lange 


Das Besondere ist laut Her- 
steller der sichere Schlüssel- 
austausch über den Sprach- 
kanal, sodass er im Gegensatz 
zu dem üblicherweise über 
den Signalisierungskanal 
versendeten Schlüssel nicht 
sichtbar und für einen „Man 
in the Middle“ nicht abzu- 
fangen ist. 


Sandkiste für Pinguine: 
Norman (www.norman.com/ 
de), „Erfinder“ der isolierten 
Umgebung für Malware-Ana- 
lyse, stellt seine Sandbox-Pro- 
duktreihe in neuer Version 
vor. Die Produktreihe läuft 
nun auch auf Linux-Rech- 
nern. Neben ausführbarem 
Code analysieren die Produk- 
te überdies Exploits in Micro- 
soft Office und weiteren gän- 
gigen Programmen, ein neuer 
Emulator soll zudem den 
Analyseprozess beschleuni- 
gen und die Erkennungsrate 
um 20 % steigern. 


IX-Security-Special 
mit Multiboot-DVD 


Gleichzeitig mit dieser Ausgabe 
erscheint das iX Special „Sicher 
im Netz“ . Auf über 150 Seiten 
geht es um die Security-Proble- 
me, die heute Administratoren, 
Beratern und Sicherheitsbeauf- 
tragten auf den Nägeln brennen 


Schwachstellen vorsunsagen 
Sichere Aja« Programmierung 


Webonwendungen peiden 
und schützen 


Unerkannt im Internat 


fFecht im 
Unternehmen 


— von Websicherheit über exter- 
ne und interne Angriffe, Werk- 
zeuge zur Einbruchserkennung 
bis zu rechtlichen und Manage- 
ment-Fragen. 


Dem Heft liegt eine Multiboot- 
DVD bei, die eine Systemunter- 
suchung oder -reparatur ohne 
Software-Installation erlaubt. 
Bei den bootbaren Systemen 
handelt es sich um das Avira 
Rescue System, Backtrack 3, 
Damn Vulnerable Linux, DA- 
VIX und Recovery Is Possible. 
Außerdem befinden sich auf der 
DVD Security-Tutorials sowie 
über 50 Tools — Forensik-Werk- 
zeuge, Rootkit-Entferner, Vi- 
renscanner und so weiter. 


Das iX Special ist im gut sor- 
tierten Zeitschriftenhandel so- 
wie online erhältlich (www.hei 
se.de/kiosk/special/). 


Zertifizierung für Softwaresicherheit 


(1SC)2 (ISC-squared), die ge- 
meinnützige Organisation zur 
berufsbegleitenden Ausbil- 
dung und Zertifizierung von 
IT-Sicherheitsexperten, plant 
eine Zertifizierung im Bereich 
Softwaresicherheit einzufüh- 
ren. Der Certified Secure Soft- 
ware Lifecycle Professional 
(CSSLP) soll die Zahl von 
Sicherheitsschwachstellen in 
der Software reduzieren. Be- 
handelte Themen sind Soft- 
warelebenszyklus, Schwach- 
stellen, Risiken, Grundlagen 
der Informationssicherheit und 
Compliance. 


Die codeneutrale Zertifizie- 
rung ist für alle am Software- 
lebenszyklus beteiligten Be- 
rufsgruppen relevant, etwa für 
Prozessanalysten, Entwickler, 
Softwareingenieure, Software- 
architekten, Projektmanager, 
Softwaretester und Program- 
mierer. 

Die erste Prüfung soll Ende 
Juni 2009 stattfinden. Deshalb 
sucht (ISC)2 qualifizierte Soft- 
warespezialisten, die sich an 
der abschließenden Entwick- 
lung des Zertifizierungsverfah- 
rens beteiligen wollen. 

Susanne Franke 


Websense mit Content-Erkennung 


Websense hat seine Web Secu- 
rity Version 7 vorgestellt. In 
der jüngsten Release ist ein 
neues optionales Content-Gate- 
way-Modul hinzugekommen. 
Es handelt sich dabei um einen 
Web-Proxy, mit dem Anwen- 
der auch verschlüsselten Da- 
tenverkehr analysieren oder 
eine Web-2.0-Kategorisierung 
vornehmen können, weil sich 
der Datenstrom intensiver ana- 
lysieren lässt. URLs werden 
auch dynamisch klassifiziert. 
Das heißt, den Verkehr müssen 
nicht mehr die Websense Se- 
curity Labs kategorisieren, dies 
erfolgt am Gateway. Außer- 


dem ersetzt eine Weboberflä- 
che das bisherige Java-Inter- 
face. Neu ist auch die Integra- 
tion von Verwaltungs- und 
Reporting-Tools auf einer ein- 
heitlichen Benutzeroberfläche. 
Ein Management-Dashboard 
zeigt alle Security-Vorfälle. 
Das ebenfalls neue Modul „Da- 
ta Security Endpoint“ schützt 
gespeicherte Daten (Data at 
Rest), bearbeitete Daten (Data 
in Use) und gerade übertragene 
Daten (Data in Motion). Die 
Software verhindert das uner- 
laubte Kopieren vertraulicher 
Unternehmensdaten auf USB- 
Sticks. Susanne Franke 
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MARKT + TRENDS 


Hardware 


Hitachi Data Systems erweitert AMS-Familie 


Um die Lücke zwischen Mid- 
range- und Highend-Storage zu 
schließen, ergänzt Hitachi Data 
Storage (www.hds.com) seine 
AMS-Speicherfamilie (Adapta- 
ble Modular Storage) um die 
AMS2000-Serie. Sie besteht 
zunächst aus den Modellen 
AMS2100, 2300 und 2500. 
Intern setzen die Geräte auf 
die moderne SAS-Technik 
(Serial Attached SCSI). Sie er- 
laubt es, sowohl SAS- als auch 
SATA-Festplatten einzusetzen. 
Zur Wahl stehen 3,5" große 
SAS-Modelle mit 146 und 300 
GByte Kapazität bei 15 000 
U/min oder 400 GByte bei 
10 000 U/min sowie SATA- 
Festplatten mit einer Drehzahl 
von 7200 U/min und 500, 750 
oder 1000 GByte. Mischbestü- 
ckung ist möglich, sofern jede 
RAID-Gruppe aus Platten ei- 
ner Bauart besteht. Zwischen 
SAS- und SATA-RAIDs las- 
sen sich Daten automatisch mi- 
grieren. Wer angesichts des 
Vollausbaus mit 120, 240 res- 


pektive 480 Platten Strom spa- 
ren will, kann ungenutzte 
RAID-Gruppen herunterfahren 
(Spin-down). 

Alle Modelle besitzen zwei 
Controller, die im active/ac- 
tive-Betrieb arbeiten (Load Ba- 
lancing) und die RAID-Level 
0,1,5,6 und 10 beherrschen. 
Aus Sicherheitsgründen ver- 
weigern die Controller den Be- 
trieb von SATA-Platten als 
RAID 0 - der Hersteller emp- 
fiehlt, RAID 6 zu verwenden. 

Das Modell 2100 bietet 4 bis 
8 GByte Cache pro Controller 
und insgesamt vier Host-Ports — 
wahlweise 4 GBit/s FC oder 
1 GBit/s Ethernet (iSCSD. Die 
größeren Exemplare AMS2300 
und 2500 stellen die doppelte 
und vierfache Menge an Ports 
und Cache zur Verfügung. 
AMS2100 und 2300 sind be- 
reits verfügbar, das Modell 
2500 soll im ersten Quartal 
2009 erhältlich sein. 


Eix-ink ix0811030 


IT-Equipment auf der Schiene 


Fujitsu Siemens Computers hat 
die Beförderung von Monito- 
ren und Barebone-Gehäusen 
von China nach Deutschland 
auf die Schiene verlagert. Als 
erster IT-Produzent nutzt FSC 
die neue transeurasische Stre- 
cke der DB Schenker mit soge- 
nannten „Dedicated Company 
Trains“, die ausschließlich 
Fracht eines Herstellers beför- 
dern. Am 6. Oktober kam der 
erste Zug nach einer 17-tägi- 
gen Reise von Xiangtang, etwa 
700 km nördlich von Hong- 


al 


—- Rail toutes 


© Gauge/lokomotive & 
Waggon change 


kong, in Hamburg an. Erst im 
Januar dieses Jahres hatte der 
erste Testzug der DB Schenker 
seine 10 000 km lange Fahrt 
absolviert. 

Dass FSC einen Teil seiner 
zeitkritischen Transporte von 
den Luftwegen auf die Schiene 
verlagert, begündet der Her- 
steller damit, dass sich dadurch 
der CO--Ausstoß auf 5 % und 
die Kosten auf ein Viertel re- 
duzieren. Gegenüber der See- 
fracht beschleunigt sich der 
Transport um etwa zehn Tage. 


Für die 10 000 km lange Strecke von Xiangtang nach Deutschland 
benötigt der Trans-Eurasia-Express 17 Tage. Zweimal muss er 
dabei wegen des Wechsels der Spurbreite Lok und Waggons 


austauschen. 
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Quelle: DB AG/DB Schenker 


AMD stellt neue Profi-Grafikkarten vor 


Einen Monat nach der Einfüh- 
rung der Firepro-Grafikkarten- 
Familie für CAD- und DCC- 
Anwender (Digital Content 
Creation) hat AMD zwei wei- 
tere Modelle, Firepro V8700 
und V3750, vorgestellt. Im 
Unterschied zu den Karten der 
nun abgelösten FireGL-Serie 
bieten die V8700 und V3750 
einen Dual-Link-DVI- und 
zwei Displayport-Ausgänge. 
Wie die auf der Siggraph 
2008 vorgestellten Brüder Fire- 
pro V5700 und V3700 unter- 
stützen die Neulinge Microsoft 
DirectX 10.1, OpenGL 2.1 mit 
OpenGL Shading Language 
sowie das Shader Model 4.1 
und kommunizieren über ein 
PClIe-2.0-x16-Interface. 800 
Shader-ALUs (Arithmetic Lo- 
gic Units), RV770-Grafikchip 


und 1 GByte GDDRS5-Speicher 
mit einem Durchsatz von 
108,8 GByte/s zeichnen das 
neue Highend-Modell V8700 
der Profi-Serie aus, während 
sich die Firepro V3750 mit 320 
Shader-ALUs, RV730-Grafik- 
chip und 256 MByte 22,4 
GByte/s schnellem GDDR3- 
Speicher direkt neben der 
V5700 ansiedelt. 

Die Auslieferung der Fire- 
pro V8700 und V3750 soll im 
vierten Quartal 2008 beginnen. 
AMD empfiehlt einen Einzel- 
handelspreis von 1499 respek- 
tive 199 US-Dollar. Bereits 
jetzt sollen die Modelle Firepro 
V5700 und V3700 für 599 be- 
ziehungsweise 99 US-Dollar 
verfügbar sein. 


Eix-ink ix0811030 


256-GByte-SSD von Toshiba 


Auf der japanischen Elektro- 
nikmesse CEATEC 2008 hat 
Toshiba seine neue 2,5"-SSD 
(Solid State Disk) THNS256G 
ESBC mit SATA-I-Schnitt- 
stelle vorgestellt. Der Herstel- 
ler verspricht eine Schreibge- 
schwindigkeit von 70 MByte/s 
und eine Lesegeschwindigkeit 
von 120 MByte/s. In einem 
2,5"-Gehäuse arbeiten NAND- 
Flash-Module mit der Größe 
von 70,6 mm x 53,6 mm und 
einer Höhe von 3 mm. Mit 
dieser Technik ist es recht ein- 
fach, höhere Speicherkapazitä- 
ten zu erreichen. So kündigte 
Toshiba eine 512-GByte-SSD 


bereits für 2009 an. Die Se- 
rienfertigung der 256-GByte- 
SSD soll noch im vierten 
Quartal 2008 beginnen, den 
Preis hat Toshiba aber noch 

nicht bekanntgegeben. 
Ebenfalls im September hat 
Toshiba eine 1,8"-Festplatte 
mit 250 GByte vorgestellt. 
Für die MK2529GSG hat der 
Hersteller die Speicherdichte 
auf 378,8 GBit/in? erhöht. 
Ausgestattet ist sie mit zwei 
Scheiben und 1,5-GBit/s-Mi- 

ni-SATA-Schnittstelle. 
Axel Urbanski 


Eix-ink ix0811030 


Festplatten-Verschlüsselung per Hardware 


Meist ist menschliches Versa- 
gen die Ursache, wenn vertrau- 
liche Daten aus Unternehmen 
„entweichen“ — etwa wenn ei- 
ne Firma alte Festplatten aus- 
mustert, ohne sie vorher zu lö- 
schen. Dem lässt sich nur 
durch konsequentes Verschlüs- 
seln aller Daten vorbeugen. 
Für seine System-x-Server- 
modelle x3650, x3655, x3550, 
x3500, x3400, x3350 und 
x3250M2 bietet IBM den 
SAS/SATA-RAID-Controller 
ServeRAID-MR10is VAULT 
mit integrierter Hardware- 
Krypto-Engine an. Die PCI- 
Express-Steckkarte (8x) be- 
herbergt den RAID on Chip 
(ROC) LSISAS1078DE von 


LSI sowie 256 MByte Cache. 
Eine Pufferbatterie erhält die 
Daten auch bei einem Strom- 
ausfall von maximal 72 Stun- 
den. Der Controller kann acht 
Platten bedienen und be- 
herrscht die RAID-Level 0, 1, 
5, 6, 10, 50 und 60. Zur Ver- 
schlüsselung benutzt er den 
Standard IEEE 1619 XTS- 
AES 256. 

Auf der Liste der unterstütz- 
ten Betriebssysteme stehen ne- 
ben Windows auch Red Hat, 
Suse Linux und VMware. IBM 
nennt für den ServeRAID 
MR10is VAULT einen Listen- 
preis von 875 Euro. 


Eix-ink ix0811030 
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MARKT + TRENDS 


Linux 


Mono-Version 2.0 freigegeben 


Die Entwickler von Mono, der 
Open-Source-Alternative zu 
‚Net, haben die Version 2.0 fer- 
tiggestellt. Laut Release-Notes 
(www.mono-project.com) bie- 
tet die aktuelle Ausgabe fast 
den gleichen Funktionsumfang 
wie Microsofts Original, das 
‚Net-Framework 2.0. Neben ei- 
nigen spezifischen Eigenschaf- 
ten, wie der Gtk#-API, unter- 
stützt Mono unter anderem 
Windows.Forms (Desktop-An- 


wendungen), ADO.Net (Daten- 
bankzugriff) , ASP.Net (Web- 
Anwendungen) und System. 
Drawing (portable Grafikaus- 
gaben). Monos C#-Compiler 
beherrscht den kompletten 
Sprachumfang von C# 3.0 in- 
klusive der Datenabfragespra- 
che LINQ. Darüber hinaus ge- 
hört ein Compiler für Visual 
Basic 8.0 zum Lieferumfang. 


Eix-ink ix0811032 


Open-Source-Texterkennung 


Die Schweizer Firma Archivis- 
ta hat sich auf Dokumenten- 
Management-System-(DMS)- 
Appliances spezialisiert. Die 
jetzt vorgestellte Version 2008/ 
IX der DMS-Appliance Archi- 
vistaBox enthält die laut Her- 
steller weltweit erste Open- 
Source-Texterkennung, die den 


Groupware aktualisiert 


Open-Xchange (OX, www. 
open-xchange.com/de) hat sei- 
ne gleichnamige Linux-Group- 
ware aufpoliert. Zunächst ak- 
tualisierte man die für ISPs 
gedachte Hosting Edition, jetzt 
folgte die für den Einsatz im 
Unternehmen konzipierte Ser- 
ver Edition. Damit verwenden 
beide Varianten der seit Februar 
fast vollständig unter der GPL 
stehenden Software die gleiche 
Codebasis in der Version 6. Sie 
bieten unter anderem ein Ajax- 
GUI, das sich über Themes und 
Skins an das jeweilige Firmen- 
design anpassen lässt. Funktio- 
nale Erweiterungen kann man 
entweder als Plug-ins direkt in 
die Oberfläche oder über das 
Universal Widget API (UWA, 
dev.netvibes.com/doc/universal 


erkannten Text in indexierten, 
durchsuchbaren PDF-Dateien 
ablegen kann. Das auf Source- 
forge gepflegte freie DMS soll 
rund 20 verschiedene Sprachen 
erkennen und steht unter der 
GPL22. 


Eix-ink ix0811032 


_widget_api) in die Startseite 
integrieren. 

Mit Debian Etch, RHEL 5 
oder SLES 10 unterstützt die 
OX Server Edition die im pro- 
fessionellen Umfeld gängigsten 
Linux-Derivate. Sie lässt sich 
gut in bestehende LDAP- oder 
Active-Directory-Umgebungen 
integrieren. Der Vertrieb soll 
weitgehend über Partner erfol- 
gen. Eine Software-Subskrip- 
tion inklusive aller Bugfixes 
und Updates für ein Jahr kostet 
für 25 Anwender 875 Euro/ 
218,75 Euro (1. Jahr/Folgejah- 
re). Kunden mit laufender Sub- 
skription können jederzeit kos- 
tenlos auf die neue Version 
wechseln. 


Eixink ix0811032 
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Weiße Flecken auf der OSS-Karte 


Mit ihrer Liste von elf „High 
Priority Free Software Pro- 
jects“ (siehe Kasten) will die 
Free Software Foundation 
(FSF) etwas gegen ihrer Mei- 
nung nach zu wenig erschlos- 
sene Gebiete auf der virtuellen 
Free-Software-Landkarte unter- 
nehmen und so die Akzeptanz 
freier Programme steigern. Zu 
der unter www .fsf.org/cam 


paigns/priority.html veröffent- 
lichten Liste der als besonders 
wichtig angesehenen, fehlen- 
den Anwendungen finden sich 
Anregungen, wie sich auch 
Nicht-Entwickler an den je- 
weiligen, teils noch zu grün- 
denden Projekten beteiligen 
können. 


Eix-ink ix0811032 


High Priority 
Free Software Projects 


Gnash - freier Flash-Player 


freies Pendant zu Skype 


freier Google-Earth-Ersatz 


Sees = 


Coreboot - Open-Source-BIOS 


kommunikative Mitglieder- und Spendeninfrastruktur 
freie Videobearbeitungssoftware 


gNewSense - GNU/Linux-System ohne proprietäre oder lizenz- 


rechtlich bedenkliche Komponenten 


8. Octave - Matlab-Ersatz 


9%. freier Ersatz für OpenDWG-Bibliotheken (CAD) 
10. GDB um „Reversible Debugging” erweitern 


11. freie Treiber für Router 


Rente mit Linux berechnen 


Zur Umsetzung von Sparvor- 
gaben stellen vier deutsche 
Rentenversicherer Teile ihrer 
Anwendung von IBMs Main- 
frame-Betriebssystem z/OS auf 
Linux um. Hintergrund: Nach 
einem 2004 formulierten Ziel 
im Gesetz zur Organisationsre- 
form der deutschen Rentenver- 
sicherung (RVOrgG) sollen die 
Träger ihre Verwaltungskosten 
um 350 Millionen Euro jährlich 
reduzieren. Einen Beitrag dazu 
sollen eingesparte Lizenzkos- 
ten für z/OS und IBMs Trans- 
aktionsmonitor CICS leisten. 


Absolventenpreis: Univen- 
tion lobt zum zweiten Mal 
den mit insgesamt 3000 Eu- 
ro dotierten Absolventen- 
preis für herausragende 
Abschlussarbeiten mit einem 
Open-Source-Thema aus. 
Bewerber können ihre Ar- 
beiten bis 19. April kom- 
menden Jahres unter 
www.absolventenpreis.de 


Der neue Linux-Rechner läuft 
in einer Mainframe-Partition 
und betreibt das „Gemeinsame 
Rentenversicherungssystem“ 
der DRV-Versicherungsträger 
aus Baden-Württemberg, Hes- 
sen, dem Saarland sowie der 
Knappschaft-Bahn-See. Dazu 
verwendet er neben der Co- 
bol-Implementierung von Mi- 
crofocus Cleritys Transaktions- 
monitor Unikix TPE. Die 
Datenhaltung erfolgt weiter- 
hin via DB2 unter z/OS. 


Eix-ink ix0811032 


einreichen, die Preisverlei- 
hung wird während des Li- 
nuxtags 2009 stattfinden. 


Verspätung: Wegen eines 
Fehlers im Datenbankmodul 
Base haben die Openoffice- 
Entwickler das für Ende 
September vorgesehene Re- 
lease-Datum der Version 3.0 
verschoben. Wenn mit dem 
jetzigen Release Candidat 4 
alles klappt, dürfte Openoffice 
3.0 mit Erscheinen dieser Aus- 
gabe zur Verfügung stehen. 
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MARKT + TRENDS 


Business-Software 


Standorte verbinden mit Dynamics AX 


Microsoft hat seine ERP-Soft- 
ware Dynamics AX 2009 laut 
eigenen Aussagen mit rund 
400 neuen Funktionen ausge- 
stattet, beispielsweise in den 
Bereichen Supply Chain Ma- 
nagement (SCM) und Human 
Resources (HR). Die neue Ver- 
sion wendet sich vor allem an 
Kunden, die mehrere Nieder- 
lassungen betreiben. Sie bietet 
über das Shared Service Cen- 
ter die Möglichkeit, dass bei- 
spielsweise Niederlassungen 
als zentrale Bearbeitungsstelle 
für andere Zweigstellen fun- 
gieren — etwa für den Zah- 
lungs- und Rechnungsverkehr. 
Webservices erledigen den 
technischen Part der Anbin- 


dung. Hinzugekommen sind 
automatisierte Standardabläufe 
in Form von Workflows, die 
die Einhaltung rechtlicher Re- 
gelungen erleichtern sollen, so- 
wie ein Compliance Center, 
das interne Kontrollmechanis- 
men und Kennzahlen darstellt. 
Dynamics AX enthält entspre- 
chende länderspezifische Funk- 
tionen für 36 Staaten. Schließ- 
lich verschafft das Role Center 
einen Überblick über die Tä- 
tigkeiten jedes Angestellten. 
Ab Dezember bietet Microsoft 
auch die kleinere Variante Dy- 
namics NAV 2009 mit Role 
Center und erweiterten Repor- 
ting-Funktionen an. 

Susanne Franke 


Offener ECM-Standard geplant 


Einige namhafte Anbieter 
(IBM, Microsoft, EMC, Alfres- 
co, Opentext, Oracle, SAP) 
haben eine Schnittstellenspezi- 
fikation für Enterprise-Content- 
Managementsysteme (ECM) 
entwickelt. Die Beteiligten wol- 
len die Spezifikation namens 
Content Management Interope- 
rability Services (CMIS) von 
der Standardisierungsorgani- 
sation OASIS absegnen lassen. 
Der Anspruch ist groß: Wie 
SQL im Datenbankbereich soll 
CMIS die Zusammenarbeit 
zwischen proprietären ECM er- 
lauben. Alfresco hat bereits die 
erste Implementierung zum 


Java-Tools: Oracle hat die 
Version 11g sowohl der Ent- 
wicklungsumgebung JDevel- 
oper als auch des Application 
Development Framework 
(ADF) angekündigt. Beide 
Produkte gehören zu Oracles 
Fusion Middleware und 
bieten beispielsweise die 
Möglichkeit, Anwendungen 
gleichzeitig für Desktop- 
sowie mobile Anwendungen 
zu entwickeln. 


Standardhilfe: JD Edwards 
Enterprise One liegt in Ver- 
sion 9.0 vor. Oracles zuge- 
kaufte ERP-Software enthält 
ein Projekt- und Abrech- 
nungsmodul für Regierungs- 
aufträge. Die Komponente 


34 


Ausprobieren vorgestellt. CMIS 
ist noch weit von einem Stan- 
dard entfernt. Wie sich die 
Spezifikation mit anderen Ver- 
suchen, die Ähnliches propa- 
gieren, namentlich WebDAV 
und JSR 170 (Content Reposi- 
tory for Java), verträgt, lässt 
sich noch nicht abschätzen. Mit 
der Java-Schnittstellenspezi- 
fikation JSR 170 harmoniert 
CMIS laut Aussagen aus dem 
ECM-Umfeld gut, die HTTP- 
Erweiterung WebDAV könnte 
Leidtragende des Standardisie- 
rungsversuchs werden. 


Eix-Uink ix0811034 


soll Ingenieursfirmen den 
Umgang mit US-Standards 
wie Federal Acquisition Re- 
gulation (FAR) und U.S. 
Cost Accounting Standards 
(CAS) erleichtern. 


Multitalent: Magic Software 
hat die Entwicklungsplatt- 
form uniPaaS als Nachfolger 
des eDeveloper freigegeben. 
Laut Magic können die An- 
wender wählen, in welchem 
Modus ihr Programm ar- 
beiten soll. Zur Auswahl 
stehen: Full Client, Rich 
Client, Webanwendung, On- 
Demand, On-Premise und 
SaaS. In Rich Internet Appli- 
cations (RIA) erledigt uni- 
PaaS automatisch die Client- 
Server-Partitionierung. 


Eix-ink ix0811034 


SAP erweitert Metadatenverwaltung 


Business Objects, SAPs Ge- 
schäftsbereich für Datenanaly- 
seprodukte, hat die Version 
3.0 Metadata Management XI 
vorgestellt. Die Anwendung 
soll das unternehmensweite Da- 
tenmanagement (Data Gover- 
nance) vereinfachen. Sämtliche 
Informationen liegen konsoli- 


diert in einem Repository. Das 
in die Business-Intelligence- 
Plattform XI integrierte Werk- 
zeug bietet außerdem ein 
sogenanntes Metapedia, ein en- 
zyklopädisches Verzeichnis, 
das unterschiedliche Metainfor- 
mationen mit betriebswirtschaft- 
lichen Begriffen verknüpft. 


Cenirasite mit SOA-Zuschnitt 


In Centrasite ActiveSOA führt 
die Software AG ihre bisheri- 
ge Centrasite Enterprise Edi- 
tion mit der Governance Edi- 
tion (vormals Webmethods 
Infravio) für SOA-Governance 
und Lifecycle-Management 
zusammen. Das Produkt fußt 
auf einer Registry, die sowohl 
das UDDI-Protokoll (Univer- 
sal Description, Discovery and 
Integration) als auch JAXR 
(Java API for XML Registries) 
unterstützt. In einer Verbund- 
architektur sollen sich Gover- 
nance-Prozesse und Policies 
inklusive Metadaten über un- 
terschiedliche, auch externe 
Repositories und SOA-Installa- 
tionen hinweg synchronisieren 
lassen. Das System kooperiert 
mit verschiedenen Webme- 


thods-Werkzeugen (ESB, In- 
sight, Mediator) und soll so die 
zentralisierte Kontrolle und 
Durchsetzung von Regeln in 
verteilten SOA-Umgebungen 
ermöglichen. Der Anwender 
kann in Echtzeit Änderungen 
an SOA-Komponenten wie 
Services, Policies, Prozessen 
und Regeln bewerten. Eine 
spezielle Metrik erlaubt ihm, 
das Design von Komponenten 
zu kontrollieren und zu modi- 
fizieren. Schließlich ist eine 
auf Ajax beruhende, rollen- 
basierte Benutzeroberfläche 
hinzugekommen. Die Soft- 
ware AG will ActiveSOA im 
2. Quartal 2009 allgemein frei- 
geben, bisher dürfen nur aus- 
gewählte Kunden das Produkt 
ausprobieren. Susanne Franke 


Microsoft und SWIFT kooperieren 


Microsoft geht eine globale 
Partnerschaft mit SWIFT ein, 
einem Provider für Finanz- 
transaktionen. Ziel ist die Ent- 
wicklung von Lösungen für 
die Finanzindustrie sowie die 
Integration der IP-basierten 
Messaging-Plattform Swift- 
net. Auf dieser Basis sollen 
externe Partner Produkte für 
die Finanzwirtschaft erstellen. 


Der Biztalk Accelerator hält 
die notwendigen Protokolle 
und Adapter für die Kommu- 
nikation mit dem Transak- 
tionsnetzwerk der SWIFT be- 
reit. Das Produkt soll als 
fester Bestandteil in den Biz- 
talk Server 2009 eingehen, 
den Microsoft in der ersten 
Hälfte des kommenden Jahres 
vorstellen will. 


Echzeitanalysen von Intersystems 


Intersystems hat eine Echtzeit- 
Business-Intelligence-Anwen- 
dung namens DeepSee vor- 
gestellt. Sie soll die Sparte 
Auswertungssoftware aus ihrer 
traditionellen Nische der strate- 
gischen Planung herausholen 
und auf die täglichen Entschei- 
dungsprozesse aller geschäft- 
lichen Ebenen ausweiten. Laut 
Hersteller bildet DeepSee eine 
kostengünstige Alternative zu 
den klassischen BI-Produkten, 
denn riesige Data Warehouses 


sind nicht erforderlich und der 
Consulting- und Implementie- 
rungsaufwand hält sich angeb- 
lich in engen Grenzen. DeepSee 
arbeitet direkt auf den transak- 
tionsverarbeitenden Anwendun- 
gen. Für Entwickler stehen vor- 
bereitete Grafiken, Diagramme, 
Tabellen, Reports und Dash- 
boards für den Einbau in andere 
Applikationen bereit. Die Soft- 
ware ist unter Windows, Linux, 
Mac, Unix und OpenVMS ver- 
fügbar. 
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Systemmanagement 


Management-Schulterschluss 


BMC und VMware wollen ih- 
re Partnerschaft vertiefen. 
Hauptbestandteile der aktuel- 
len Vereinbarung sind ein neu- 
er Wiederverkäufervertrag und 
die gemeinsame Entwicklung 
eines integrierten IT-Manage- 
mentsystems, das auf VMwares 
vCenter Lifecycle Manager 
und BMCs Remedy IT Service 
Management (ITSM) sowie 
BMCs Atrium Orchestrator 
(ehemals Run Book Automa- 
tion) basieren wird. 


Diese Produktkombination 
soll zu VMware-optimierten 
Automatisierungswerkzeugen 
mit einer einzigen Schnittstel- 
le für Serviceanfragen führen. 
So lässt sich damit ein Change- 
und Konfigurationsmanage- 
ment über heterogene virtuali- 
sierte und nicht virtualisierte 
Rechenzentren realisieren. Zu 
kaufen gibt es die integrierte 
Lösung —- und damit den 
VMware vCenter Lifecycle 
Manager - bei BMC. 


i-doit nimmt Kontakt zu Nagios auf 


Das i-doit-Projekt stellt für das 
gleichnamige Infrastruktur- 
Dokumentationswerkzeug ei- 
ne Kopplung zur Netzüberwa- 
chungssoftware Nagios bereit. 
Administratoren können ihren 
Gerätepool auf diesem Weg 
einfacher steuern, da Überwa- 
chung und Dokumentation jetzt 
nicht mehr getrennt voneinan- 
der zu betrachten sind. Die 
unter www.i-doit.org frei be- 
ziehbare Schnittstelle liefert im 
ersten Schritt zwei Funktionen: 
Zum einen zeigt sie den von 
Nagios ermittelten aktuellen 
Status innerhalb der Objekte- 


Schnell einführen: USU 
schnürt mit Valuemation Ex- 
press ein Paket für die schnel- 
le Umsetzung des IT-Asset-/ 
IT-Service-Managements ge- 
mäß ITIL (IT Infrastructure 
Library). Vorkonfigurierte 
Vorlagen, Schnittstellen, Da- 
tenklassifikationen und Be- 
rechtigungen gewährleisten 


zusammen mit definierten Re- 


ports sowie Eskalationsregeln 
einen raschen Produktivstart. 
Das Paket umfasst ITIL-Pro- 
zessunterstützung, die Confi- 
guration Management Data- 
base (CMDB) sowie ein 
Kennzahlen-Cockpit. 


Durchblick: Frontrange Vi- 
sualization des gleichnami- 
en Anbieters bietet einen 
Überblick über die gesamte 

IT-Umgebung. Das Modul 


mit integrierter CMDB (Con- 


figuration Management Da- 
tabase) stellt die Beziehun- 


Ansicht von i-doit in Ampel- 
form an, zum anderen ermög- 
licht sie das Speichern von 
Statusmeldungen im betref- 
fenden (i-doit)-Logbuch der 
Objekte, sobald Nagios Ände- 
rungsmeldungen generiert. Als 
nächster Schritt ist geplant, 
dass Anwender Objekte nicht 
nur dokumentieren, sondern 
auf Knopfdruck auch eine Na- 
gios-Konfiguration erzeugen 
können. Das Open-Source- 
Tool i-doit geht auf eine Initi- 
ative des Düsseldorfer Infra- 
strukturspezialisten Synetics 
zurück. 


gen zwischen Unternehmens- 


Services und Konfigurations- 


elementen der Infrastruktur 
grafisch dar. Auf diesem 
Weg lässt sich sofort erken- 
nen, welche Auswirkungen 
Veränderungen in der IT-In- 
frastruktur auf die betrieb- 


lichen Abläufe haben. 


Vor-Bildlich: Die Version 
4.75 des Netzwerkscanners 


nmap erkennt nun iPhones, 
Systeme mit dem Linux-Ker- 
nel 2.6.25, Mac OS X, Dar- 
win 9.2.2 oder Windows Vis- 
ta mit Servicepack 1 anhand 
ihrer „Fingerabdrücke“. Die 


Zahl der Signaturen wuchs 


von 1320 auf 1503, während 
die Zahl der standardmäßig 


untersuchten Ports aus Per- 


formancegründen auf 1000 
sank. Überarbeitungen er- 
fuhr außerdem die grafische 
Oberfläche Zenmap. Dank 
der Integration des Visuali- 
sierungstools Radialnet las- 
sen sich jetzt Karten der 
Netztopologie automatisch 
anlegen. 
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Beruf 


Wunscharbeitgeber: Google jetzt vor SAP 


Führungswechsel unter den 
Lieblingsarbeitgebern der In- 
formatikstudenten in Deutsch- 
land: Der Suchmaschinenbe- 
treiber Google läuft in diesem 
Jahr SAP den Rang ab. Das 
Walldorfer Softwarehaus, dem 
erst im vergangenen Jahr der 
Sprung an die Spitze gelang, 
muss heuer mit dem zweiten 
Platz vorliebnehmen. Aller- 
dings konnte SAP schon 2007 
Google mit einem Abstand von 
0,1 Prozentpunkten nur knapp 
hinter sich lassen. In diesem 
Jahr erreichte die US-Firma ei- 
nen deutlichen Vorsprung von 
3,5 %. Mit diesem Wert ist sie 
das einzige Unternehmen, das 
gegenüber dem Vorjahr den 
Stimmenanteil nennenswert 
steigern Konnte. 

Google ist allerdings nicht 
für alle Teilgruppen der befrag- 
ten IT-Studenten die Num- 
mer 1. Technische Informatiker 


sowie Studierende der Wirt- 
schaftsinformatik/Informations- 
wirtschaft setzen das Unterneh- 
men nur auf Platz 2. Stattdessen 
erkoren die Erstgenannten 
Siemens zur Nummer 1, die 
betriebswirtschaftlich ange- 
hauchten Informatiker setzten 
wiederum SAP an die Spitze. 
Gleiches gilt für die „High Po- 
tentials“ (Führungsnachwuchs 
für Managementaufgaben) un- 
ter den Informatikern, die eben- 
falls SAP vor Google und der 
Unternehmensberatung Accen- 
ture zum beliebtesten Arbeitge- 
ber wählten. Das sind Ergeb- 
nisse, zu denen das Berliner 
Trendence Institut in der zehn- 
ten Auflage seiner Studie „Das 
Deutsche Absolventenbarome- 
ter — IT Edition“ gelangte. In 
die diesjährige Untersuchung 
flossen Antworten von über 
6300 Studenten an 63 deut- 
schen Hochschulen ein. 


Rang 2008 Unternehmen Nennungen Rang 2007 Nennungen 


j Google 19,5 2 16,2 
2 sap 16,0 1 16,3 
3 IBM 13,9 3 14,3 = 
4 Siemens 10,8 4 142 S 
5 Fraunhofer 8,8 b 10,0 S 
6 BMW 8,0 5 10,5 = 
7 Microsoft 14 7 8,0 s 
8 Apple A 8 7,1 5 
9 Porsche 6,9 9 6,8 8 
10 Electronic Arts 6,3 ee) = S 
Nennungen in Prozent 44 


IT-Freiberufler: Höhere Stundensätze 


Selbstständige IT-Experten pro- 
fitieren weiterhin vom Fachkräf- 
temangel. Zumindest weist die 
aktuelle Statistik des Projektpor- 
tals Gulp abermals eine Erhö- 
hung für die durchschnittlich 
geforderten Stundensätze von 
70,50 € im Februar auf nun- 
mehr 71,20 € im August aus. 
Im Vergleich zum Vorjahr gibt 
es mehr Freiberufler, die Stun- 
densätze über 70 € fordern. Bei 


der Gruppe mit Forderungen ab 
110 € sind die Zuwächse am 
stärksten ausgeprägt (+26,4 %). 
Zugleich ist der Anteil derer ge- 
sunken, die sich mit weniger als 
70 € pro Stunde begnügen. Die 
größte Gruppierung (24,3 %) 
forderte im August Stundensät- 
ze zwischen 70 und 79 €. Für 
alle Positionen konnte Gulp ei- 
ne Steigerung der Stundensatz- 
forderungen beobachten. 


Position 1.02.20070° 1.08.2000 ° 1.02.2008 1.08.2008 
Softwareentwickler 62 63 64 66 
Berater 7 73 24 75 S 
Trainer 65 66 67 68 S 
Projektleiter 74 76 78 78 Ss 
Administrator 54 55 55 u: 
Qualitätssicherung 61 62 63 64 & 
> Ale Angaben in Euro 
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MARKT + TRENDS 


Wirtschaft 


Spendierfreudig: Micro- 
soft beabsichtigt in den 
kommenden fünf Jahren 
bis zu 40 Mrd. Dollar für 
den Rückkauf eigener Ak- 
tien springen zu lassen. 
Auch wird die kommende 
Quartalsdividende mit 13 
Cent um 18 % beziehungs- 
weise 2 Cent höher ausfal- 
len als ursprünglich beab- 
sichtigt. Microsoft ließ in 
den vergangenen fünf Jah- 
ren rund 115 Mrd. Dollar 
für Aktienrückkäufe und 
Dividenden springen. 


Rückkauf: Hewlett-Pa- 
ckard macht es Microsoft 
nach und kauft in großem 
Stil eigene Aktien zurück. 
Einer Meldung des IT-Kon- 
zerns zufolge hat der Ver- 
waltungsrat hierfür weitere 
acht Mrd. Dollar geneh- 
mist. Bereits im November 
hatte HP ein Rückkaufpro- 
gramm mit gleichem Um- 
fang initiiert. Momentan 
sind rund 2,5 Mrd. HP-Ak- 
tien im Umlauf. 


Handstreich: HP plant die 
Akquisition von Lefthand 
Networks, einem Anbieter 
von Lösungen für die Spei- 
cher-Virtualisierung und 
für iSCSI-basierende SAN 
(Storage Area Networks). 
Für den Kauf nimmt der 
US-Konzern 360 Mio. 
Dollar in die Hand. Bis En- 
de Januar kommenden Jah- 
res soll die Übernahme 
vollzogen sein. Danach 
soll das Geschäft von Left- 
hand Networks in HPs Sto- 
rageworks-Division des 
Geschäftsbereichs TSG 
(Technology Solutions 
Group) integriert werden. 


Aufkauf: Quest Software 
hat für circa 79 Mio. Dollar 
Cash die Netpro Computing 
übernommen. Die Netpro- 
Produkte sollen Quests Lö- 
sungsportfolio mit Anwen- 
dungen für die einfachere 
Migration, Verwaltung und 
Sicherung von Microsofts 
Active-Directory-, Ex- 
change-, Sharepoint- und 
SQL-Server-Umgebungen 
komplettieren. Ein endgül- 
tiger Fahrplan soll noch im 
Oktober vorliegen. 
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Marktforscher sagen über 5 % IT-Wachstum voraus 


An der Billionen-Grenze 


Achim Born 


Die Nachfrage nach IT steigt weltweit nach wie vor 
kräftig. Nach aktuellen Daten des Marktforschungs- 
instituts EITO wächst der Weltmarkt heuer 
voraussichtlich um 5,2 % auf 963,5 Mrd. Euro. 


D: Konjunktureinbruch und 
steigende Rohstoffpreise 
hinterlassen noch keine Spuren 
in der IT-Industrie. Das meldet 
zumindest das EITO (European 
Information Technology Obser- 
vatory). Nach der buchhalteri- 
schen Fleißarbeit der Marktbe- 
obachter werden die weltweiten 
Umsätze mit Informationstech- 
nik in diesem Jahr um 5,2 % 
zulegen. Für 2009 liegt das 
prognostizierte Plus mit 5,6 % 
sogar noch ein wenig über dem 
aktuellen Wachstumsniveau. 
Dann könnte der Umsatz mit 
Computern, Software und IT- 
Dienstleistungen weltweit erst- 
mals die Marke von einer Bil- 
lion Euro überspringen. 

Den EITO-Recherchen zu- 
folge weisen die einzelnen Re- 


Stetiges Wachstum für IT 
80 - 
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63,9 
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Getrieben durch Software 
und Dienstleistungen: 
andauerndes Wachstum im 
deutschen ITK-Markt 


Quelle: Bitkom 


gionen ein zum Teil erheblich 
unterschiedliches Wachstums- 
tempo auf. Einen regelrechten 
Boom erleben zurzeit beispiels- 
weise die Volkswirtschaften 
China, Indien und Russland mit 
Wachstumsraten zwischen 17 
und 18 %. So wächst in China 
der IT-Markt um 17,8 % auf 
39,1 Mrd. Euro. In Indien wird 
ein Plus von 172% auf 18 Mrd. 
Euro erwartet und für Russland 
17,5 % (auf dann 12,5 Mrd. Eu- 
ro) gemeldet. Die Nachfrage in 
der Europäischen Union wird 
2008 dagegen nur um 4,2 % 
auf 311,1 Mrd. Euro ansteigen. 
Für das Wachstum sind in 
erster Linie die neuen EU-Mit- 
glieder wie Polen, Tschechien 
oder Rumänien verantwortlich, 
die noch Nachholbedarf beim 
Ausbau ihrer IT-Infrastruktur 
haben. Im kommenden Jahr soll 
das Wachstum mit 4,1 % auf ei- 
nem ähnlichen Niveau liegen. 
In Japan legt der Markt nach 
der EITO-Prognose heuer um 
4,0 % auf 127,7 Mrd. Euro zu. 
Selbst der US-Markt wächst 
noch um ordentliche 3,7 % auf 
345 Mrd. Euro. Im kommenden 
Jahr soll der Zuwachs mit 44% 
sogar noch höher ausfallen. 
Hierzulande steigt der Um- 
satz in der Informationstechnik 
laut einer Meldung des Bitkom 
mit einem Wachstum von 42 % 
auf dann 66,6 Mrd. Euro. Wie 


Online-Werbemarkt trotzt Konjunktur-Flaute 


Der weltweite Markt für On- 
linewerbung erreicht einen neu- 
en Höchstwert. Nach aktuellen 
Daten des Marktforschungsin- 
stituts EITO wächst der Um- 
satz im laufenden Jahr voraus- 
sichtlich um 23 % auf 31,7 
Mrd. Euro. Überdurchschnitt- 
lich legen die Online-Werbe- 
ausgaben in Europa und weiten 
Teilen Asiens zu. In der EU 


sollen das Plus 31 % und die 
Einnahmen 9,1 Mrd. Euro be- 
tragen. Die USA bleiben wei- 
terhin der mit Abstand größte 
Markt für Internetwerbung, 
trotz der Finanzkrise soll das 
Wachstum 13 % betragen. Das 
Online-Werbeaufkommen er- 
reicht damit ein Volumen von 
13,6 Mrd. Euro. Kräftig zule- 
gen soll der Umsatz in China 


in den vergangenen Jahren sind 
wieder einmal die Bereiche 
Software und IT-Dienste die 
entscheidenden Wachstumstrei- 
ber (plus 5,3 % auf 14,6 Mrd. 
Euro respektive 6,3 % auf 32,7 
Mrd. Euro). Der Umsatz mit 
PCs steigt nach Bitkom-Be- 
rechnungen um 2,1 % auf 6,7 
Mrd. Euro. Dafür müssen die 
Hersteller allerdings auch 11,6 
Mio. Systeme verkaufen, 1,5 
Mio. beziehungsweise 15 % 
mehr als im Vorjahr. Darunter 
befinden sich 7,2 Mio. Note- 
books (+26 %). Desktops blei- 
ben mit 4,4 Mio. Stück etwa auf 
dem Niveau des Vorjahres. 

Im Unterschied zum IT- 
Markt sinkt der Umsatz in der 
Telekommunikation im laufen- 
den Jahr voraussichtlich um 
1,2 % auf 66,5 Mrd. Euro. Bes- 
ser als erwartet läuft dagegen 
das Geschäft mit digitaler Kon- 
sumentenelektronik. Der Um- 
satz wird voraussichtlich um 
5,4% auf 12,4 Milliarden Euro 
zulegen. Im Frühjahr war der 
Bitkom noch von plus 2,4% 
ausgegangen. Der Lobbyver- 
band der IT-Industrie rechnet 
mit Blick auf den gesamten 
ITK-Markt mit einem Plus von 
1,8 % auf 145, 5 Mrd. Euro. 
Auch hier lag die Prognose zu 
Jahresbeginn niedriger, wenn 
auch nur um 0,2 Prozentpunkte. 
Für das kommende Jahr rechnet 
der Lobbyverband allerdings 
nur noch mit einem Wachstum 
des Gesamtmarktes in Höhe 
von 1,5%. Hier war man zu 
Jahresbeginn noch optimisti- 
scher — seinerzeit wurden 2 % 
prognostiziert. 


mit plus 46 % auf 1,2 Mrd. 
Euro. Der japanische Markt 
für Internetwerbung wächst 
um 15 % auf 3,3 Mrd. Euro. 
Zm Vergleich: Die weltweiten 
Umsätze mit Fernsehwerbung 
werden sich dem EITO-Vor- 
hersagen zufolge in diesem 
Jahr mit plus 8 % auf ein Vo- 
lumen von 139 Mrd. Euro ein- 
pendeln. 
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Wirtschaft 


Deutschland: Miese Noten als IT-Standort 


Eine aktuelle Studie der Eco- 
nomist Intelligence Unit (EIU) 
zeigt auf, was die Schwächen 
bei Forschung, Entwicklung 
und Bildung für Deutschland 
im Ländervergleich bewirken. 
Demnach verliert die Bundes- 
republik in der Rangfolge der 
Attraktivität für die IT-Industrie 
weiter an Boden und ordnet 
sich gegenüber der Vorjahres- 
untersuchung drei Ränge nie- 
driger auf Platz 19 ein. Die Be- 
dingungen für die IT-Industrie 
gelten der EIU zufolge europa- 
weit vor allem in Skandinavien, 
Großbritannien (Platz 3), den 
Niederlanden (Platz 10) und 
der Schweiz (Platz 11) als 
günstiger. Weltweit führten die 
USA die Rangliste an, gefolgt 
von Taiwan. 

Schwächen im wirtschaft- 
lichen und rechtlichen Umfeld, 
der Infrastruktur und bei Inno- 


vationen hemmen das Wachs- 
tum der Branche in den Schwel- 
lenländern Indien, China und 
Russland, die auf den Rängen 
48 bis 50 liegen. Die EIU-Ana- 
lyse basiert auf einer Bewertung 
der Faktoren Forschungs- und 
Entwicklungsgemeinschaft, IT- 
Infrastruktur, Rechtssystem, 
gesamtwirtschaftliches Um- 
feld, Bildung/Angebot an qua- 
lifizierten Fachkräften sowie 
der staatlichen Unterstützung 
für die IT-Branche. Dazu wer- 
den die genannten Faktoren 
wie folgt gewichtet: For- 
schungs- und Entwicklung 
25 %, IT-Infrastruktur 20 %, 
rechtliches Umfeld 10 %, ge- 
samtwirtschaftliches Umfeld 
10 %, das Angebot an qualifi- 
zierten Fachkräften 20 % so- 
wie die staatliche Unterstüt- 
zung für das Wachstum der 
IT-Branche 15 %. 


Best Buy: Napster übernommen 


Für insgesamt 121 Mio. Dollar 
übernimmt die US-Handelsket- 
te Best Buy den Onlinedienst 
Napster. Der Kauf soll im vier- 
ten Quartal abgeschlossen sein. 
Dabei wechseln der 700 000 
Kunden starke Abostamm, die 
webbasierte Kundendienst- 
Plattform sowie mobile Diens- 
te den Eigner. Napster war 
1988 als Tauschbörse für 


MP3-Dateien gegründet wor- 
den. Die dabei genutzte Peer- 
to-Peer-Technik galt seiner- 
zeit als revolutionär, kam 
wegen illegaler Downloads je- 
doch in Verruf. Heute müht 
man sich, mit legalen Ge- 
schäften zu überleben, unter 
anderem per Flatrate-Angebo- 
ten für legalen Zugriff auf On- 
linemusik. 


Gartner-Prognose: Indien boomt 


Ein äußerst robustes Wachs- 
tum von durchschnittlich 
14,8 % jährlich bis 2012 pro- 
gnostiziert Gartner für den in- 
dischen ITK-Markt. Allein in 
diesem Jahr sollen die Ausga- 
ben um 17,2 % auf 64,7 Mrd. 
Dollar anschwellen. Vergleich- 


Sicheres Geschäft: McAfee 
sichert sich Secure Compu- 
ting. Für den Netzwerksicher- 
heitsspezialisten will man ins- 
gesamt 465 Mio. Dollar auf 
den Tisch legen. Die Akquisi- 
tion muss allerdings noch von 
den zuständigen Behörden 
und den Secure-Computing- 
Aktionären genehmigt wer- 
den. Das Management von 
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bar zu den etablierten Märkten 
wie USA und Europa wird das 
Wachstum insbesondere durch 
die Segmente Software und 
IT-Services angetrieben. Das 
Hardwaregeschäft soll sich 
ebenfalls überdurchschnittlich 
entwickeln. 


McAfee rechnet damit, dass 
bis Ende des Jahres die Über- 
nahme abgeschlossen ist. 


Einkauf: Oracle kauft Ad- 
vanced Visual Technology 
(AVT). Die britische Firma 
ist Hersteller von Planungs- 
software für Verkaufsräume 
und -regale. Unter anderem 
bietet sie Software zum Pla- 
nen von Ladengeschäften 
und Regalen in 3D-Darstel- 
lung. Über den Kaufpreis 
wurde nichts bekannt. 


Internetzugang per Handy gewinnt Freunde 


16 % der Deutschen nutzen 
laut einer Studie von TNS In- 
fratest das mobile Internet 
(rund 10,4 Mio. Personen ab 
14 Jahren). Betrachtet man al- 
lein den E-Mail-Empfang oder 
Versand, sind es 12%, die die- 
sen Service nutzen. Drei Viertel 
dieser Nutzer bedienen sich 
hierzu eines Push-Dienstes, 
zwei Fünftel gehen auf die 
Website ihres Anbieters, um die 
Mails zu „checken“. 55 % der 
Nutzer mobiler Internet-Servi- 
ces lesen WAP-Seiten, die spe- 


ziell für die Nutzung mit dem 
Handy optimiert sind. Normale 
HTML-Seiten nutzen nahezu 
drei Viertel der Befragten. 
Nach Auskunft von TNS Infra- 
test dominiert bei der Nutzung 
der Aufruf von Suchmaschi- 
nen. Häufig werden zudem 
Nachrichten, Sportinformatio- 
nen oder das Wetter abgerufen. 
Sogenannte Web 2.0-Anwen- 
dungen wie Social-Networ- 
king-Seiten und Videoportale 
steuert dagegen bislang nur ei- 
ne Minderheit an. 


sd&m heißt jetzt Capgemini 


Seit dem 1. Oktober tritt sd&m 
gemeinsam mit der SAP-Busi- 
ness-Solutions-Einheit von Cap- 
gemini in Deutschland und der 
Schweiz unter der Bezeichnung 
Capgemini sd& m auf. Bislang 
durfte das Münchener Software- 
haus, obgleich es seit 2001 zu 
100 Prozent der französischen 
Capgemini gehört, noch unter 
eigener Marke auftreten. Dabei 
konzentrierte sich sd & m in ers- 
ter Linie auf das angestammte 
Geschäft der Individualent- 
wicklung. Wie der sd & m-Chef 
Edmund Küpper in Interviews 
bemerkte, war SAP in der Ver- 
gangenheit immer „ein Feind“, 
der den Anwendern Standard- 
software ans Herz legte. Aller- 
dings hatte sd & m 2006 mit der 


Accenture erfolgreich 


IT-Service-Spezialist Accen- 
ture blickt auf ein erfolgrei- 
ches Geschäft zurück. Die Bi- 
lanz des im August beendeten 
Geschäftsjahrs weist einem 
Umsatz von 23,39 Mrd. Dollar 
(+19 %) aus. Die Beratungs- 
sparte steuert auf 14,12 Mrd. 
Dollar zu, mit Outsourcing 
nahm man 9,3 Mrd. Dollar 
ein. Der Nettogewinn wuchs 


SAP hilft Innocentive 


SAP hat eine Partnerschaft 
mit Innocentive angekündigt. 
Gleichzeitig wird das Wall- 
dorfer Unternehmen über den 
SAP Netweaver Fonds in das 
Unternehmen investieren. Die 
Onlineplattform von Innocen- 
tive ist ein weltweites Forum, 
in dem Experten aus allen 
Branchen und Regionen ko- 
operieren, um innovative Lö- 


Plecto AG einen ausgewiesenen 
Spezialisten für SAP-Technolo- 
gie übernommen. Mit diesem 
wollte man das eigene Angebot 
an maßgeschneiderten IT-Lö- 
sungen in die SAP-Systemwelt 
ausweiten. 

Zu Beginn des Jahres wurden 
die SAP-Netweaver-Spezialis- 
ten von sd& m mit Capgemini- 
Beratern aus dem Process & 
Application Consulting dann zu 
eigenen Einheiten unter dem 
Dach der Capgemini-Gruppe 
zusammengeführt. Nun geht 
diese wieder mit sd& m zusam- 
men. Bei der neuen Einheit sind 
rund 2000 Mitarbeiter an zehn 
Standorten in Deutschland und 
der Schweiz beschäftigt, rund 
1400 von sd&m. 


um rund ein Drittel auf 1,7 
Mrd. Dollar. Im Geschäftsbe- 
reich EMEA (Europa, Naher 
Osten, Afrika) kletterte der 
Umsatz um 21 % auf 11,5 
Mrd. Dollar. Dabei profitiert 
man jedoch von der Schwäche 
der US-Währung. Denn auf 
Basis der lokalen Währungen 
pendelt sich das Wachstum bei 
rund 10 % ein. 


sungsansätze für Unterneh- 
men in besonders forschungs- 
intensiven Bereichen zu ent- 
werfen. Mehr als 160 000 
Ingenieure, Wissenschaftler, 
Erfinder, Unternehmer und 
Forschungsorganisationen aus 
über 175 Ländern beteiligen 
sich an diesem „interaktiven 
Think Tank“. Die besten Er- 
gebnisse werden prämiert. 
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Sprachverarbeitung 


Hauptströmungen der 
maschinellen Übersetzung 


Rosetta 
statt 


Cai Ziegler 


SSERter 


Die maschinelle Übersetzung von Texten ist eins der ältesten 
Versprechen der künstlichen Intelligenz. Zwar liegt dessen 
Erfüllung noch in weiter Ferne, doch bringen Ansätze aus der 
Sprachstatistik neues Leben ins Spiel. 


wei Seelen wohnen, ach! in mei- 

ner Brust“ — auf wenige Gebiete 

der Informatik lässt sich dieser 
gern zitierte Satz aus Goethes Faust 
besser anwenden als auf die maschinel- 
le Übersetzung, bei der sich seit nahezu 
zwei Jahrzehnten Computerlinguisten 
und Anhänger der Sprachstatistik erbit- 
terte Grabenkämpfe liefern. Denn tat- 
sächlich sind die beiden grundverschie- 
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den und lassen nur wenig Raum für 
Überlappungen: Während die Linguis- 
ten regelbasierte Übersetzer bauen, bei 
denen grammatikalische Regeln in mü- 
hevoller Kleinarbeit per Hand für jede 
zu übersetzende Sprache modelliert 
werden müssen, verfolgen die Statisti- 
ker einen gänzlich anderen Ansatz: Sie 
bemühen weder Wörterbücher noch 
Grammatikregeln. Stattdessen lernt die 


Maschine diese Gegebenheiten von 
selbst, anhand so genannter paralleler 
Textcorpora — großer Textmengen, die 
denselben Inhalt in zwei Sprachen zum 
Ausdruck bringen. Die Gesetzestexte 
der EU sind ein gutes Beispiel für pa- 
rallele Corpora. Oder eben der bekann- 
te Stein von Rosetta, wobei das Krite- 
rıum der Korpusgröße in diesem Fall 
nicht erfüllt ist. 

Allmählich scheint sich das Blatt zu- 
gunsten der Sprachstatistiker zu wenden, 
die bislang zwar im Bereich der For- 
schung ihren Platz sichern und in diver- 
sen Benchmarks mit guten Ergebnissen 
aufwarten konnten, aber in puncto kom- 
merzieller Erfolge nur wenig vorzuwei- 
sen hatten: Nahezu alle Anbieter von 
Produkten zur Übersetzung verschieden- 
sprachiger Texte sehen sich der regelba- 
sierten Computerlinguistik verbunden. 
Google hat vor etwas mehr als zwei Jah- 
ren die Entscheidung gefällt, sich aktiv 
in das Geschehen einzubringen. 

Verließ sich der Primus der Such- 
branche bis dahin zur Übersetzung von 
Webseiten auf die Software von Sys- 
tran, einer französischen Firma, die als 
Urahn der maschinellen Übersetzung 
gelten darf, so ist dem seit Oktober 
2007 nicht mehr so: Google hat den 
Dienst durch selbst gestrickte Software 
ersetzt, die im Gegensatz zu Systran 
rein auf Sprachstatistik fußt (siehe 
Abb. 1). Die Umstellung erfolgte ohne 
großes Aufheben und fand ihren 
Niederschlag hauptsächlich in einigen 
Blogs, die sich jedoch kritisch zu den 
erzielten Resultaten äußerten. In Kom- 
mentaren bemängelten einige, dass sich 
die Qualität der Übersetzung nicht we- 
sentlich von der Systrans unterschied. 


Fit in Arabisch 
und Chinesisch 


Das mag stimmen, wie eigene Finger- 
übungen dem Leser schnell vor Augen 
führen dürften. De facto sollte die Sicht- 
weise jedoch nicht die des halbleeren 
Glases, sondern die des halbvollen sein: 
In weniger als zwanzig Jahren, denn tat- 
sächlich begann die Forschung sich erst 
Anfang der Neunziger mit statistischen 
Übersetzungsverfahren zu beschäftigen, 
zog der neue, auf Wahrscheinlichkeiten 
gründende Ansatz mit den in fünf Deka- 
den gereiften linguistischen Verfahren 
gleich. Darüber hinaus hat der Neuan- 
kömmling die alte Garde in einigen 
Sprachen schon überholt: Das National 
Institute of Standards and Technology 
(NIST) veranstaltet alljährlich einen 
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Das nun statistische Google Translate liegt bei der Übersetzung nicht immer 
richtig, ermöglicht jedoch die Eingabe einer Korrektur bei fehlerhaften 
Resultaten (Abb. 1). 


Wettbewerb, bei dem sich Systeme zur 
maschinellen Übersetzung miteinander 
messen können. 

In den Jahren 2005 und 2006 — neue- 
re Ergebnisse liegen noch nicht vor — hat 
Googles eigener Ansatz in den Kate- 
gorien Arabisch — Englisch und Chine- 
sisch — Englisch die anderen Konkurren- 
ten deutlich hinter sich gelassen (siehe 
Kasten), darunter 2005 auch Systran, 
das jedoch 2006 gar nicht mehr antrat. 
Dass sich dieser Erfolg nur auf die bei- 
den genannten exotischeren Sprachen 
bezog, ist darin begründet, dass aus- 
schließlich diese Sprachkombinationen 
für den Benchmark betrachtet wurden. 

Es ist eine durchaus berechtigte Fra- 
ge, warum sich die maschinelle Über- 
setzung als ein derartiges Stiefkind der 
Informatik erweist. Dabei schien man 
der Lösung schon so nah zu sein: Zu 
Zeiten des Kalten Krieges, im Jahre 
1954, führten Wissenschaftler von IBM 
in einem heute als Georgetown-Expe- 


riment bekannten Feldversuch erfolg- 
reich ein Rechensystem vor, das etwa 
60 russische Sätze ins Englische über- 
setzte. Der Erfolg schlug geradezu 
haushohe Wellen und führte dazu, dass 
sich Politik, Militär und Forschung am 
Gedanken der vollständig maschinellen 
Übersetzung geradezu berauschten. Le- 
on Dostert, ein renommierter US-Pro- 
fessor, verkündete vollmundig, dass 
maschinelle Übersetzung schon in drei 
bis fünf Jahren ein gelöstes Problem 
sei. Damit lag er offenkundig falsch. 


Direkte Übersetzung 
mit Regelwerken 


Jenes frühe, von IBM entwickelte Sys- 
tem gilt als Vertreter der sogenannten 
direkten Übersetzung: Ein Text der 
Quellsprache wird ohne Umweg über 
eine abstrakte Darstellung in die Ziel- 
sprache überführt. Zum Handwerks- 


Jahrzehnte dominiert. 


A-TRACT 


© Regelbasierte Ansätze, die enormes Expertenwissen erforderten und nur 
unzulängliche Ergebnisse lieferten, haben die maschinelle Übersetzung viele 


© Seit den Neunzigern erleben statistische Ansätze der maschinellen Übersetzung 
ihre Blütezeit, die weder Wörterbücher noch Expertenwissen benötigen. 


e Stützpfeiler dieser neuen Herangehensweise sind Paralleltexte in rauen 
Mengen, aus denen die Maschine schließlich Modelle zur Übersetzung lernt. 
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Sprachverarbeitung 


Interlingua 


_Transfer _ 


Analyse Erzeugung 


direkte direkte Übersetzung _ 


Quelltext Zieltext 


Die regelbasierten Ansätze weisen 
verschiedene Abstraktionsstufen auf, 
die vom betrachteten Sprachpaar 
losgelöst in eine Zwischensprache 
überführen (Abb. 2). 


zeug bei dieser Vorgehensweise zählen 
massive Wörterbücher, die eine Über- 
setzung Wort für Wort ermöglichen. 
Weitere essenzielle Ingredienzen sind 
Regeln für die morphologische Ana- 
lyse, um deklinierte Formen von Sub- 
stantiven und Adjektiven sowie kon- 
jugierte Verben auf die Stammform 
zurückführen zu können. Dadurch weiß 
der Rechner, dass „hob“ und „geho- 
ben“ auf das Verb „heben“ zurückzu- 
führen sind. Hinzu kommen Regeln zur 
syntaktischen Vorverarbeitung. Diese 
umfassen das Auflösen von Komposi- 
ta. Vor allem im Deutschen und Finni- 


schen ist das nicht trivial, da in beiden 
Sprachen die morphosyntaktische Viel- 
falt reich ist. Der Donaudampfschiff- 
fahrts... lässt grüßen. 

Da eine reine Übersetzung der Wör- 
ter wenig Sinnreiches hervorbrächte, 
sind derartige direkte Übersetzer zudem 
mit einigen simplen grammatikalischen 
Regeln ausgestattet, die sich beispiels- 
weise der Satzstellung annehmen. Im 
Deutschen findet sich das Prädikat ten- 
denziell am Ende eines Satzes, was für 
viele anderen Sprachen nicht gilt: „Ich 
habe das Ende der Straße gesehen“ ent- 
spricht im Englischen „I have seen the 
end of the road“. Eine Nichtbeachtung 
der Stellung des Verbs würde somit in 
beiden Richtungen zur Erzeugung eines 
Satzes führen, der grammatikalisch 
schlicht falsch wäre. 

Direkte Übersetzung funktioniert 
immer nur für genau das Sprachpaar, 
für das sie entworfen wurde. Ein Trans- 
fer für andere Paare erfordert eine müh- 
selige Anpassung der Regeln sowie das 
Vorhandensein entsprechender Wörter- 
bücher. Die Qualität ist nicht das Gelbe 
vom Ei, und so folgte 1966, nach über 
zehn Jahren intensiver Forschung, das 
Eingeständnis, dass maschinelle Über- 
setzung nicht so leicht zu haben sei wie 
angenommen. 


Wer übersetzt am besten im ganzen Land? 


Alljährlich richtet das in den USA ansässi- 
ge National Institute of Standards and 
Technology, kurz NIST, einen Wettbe- 
werb aus, bei dem Anbieter von Software- 
systemen zur maschinellen Übersetzung 
gegeneinander antreten. Die Teilnahme ist 
kostenlos. In den letzten Jahren hat die 
Zahl der sich dem Vergleich stellenden 
Firmen und Universitäten nahezu expo- 
nentiell zugenommen, was auf ein dras- 
tisch gestiegenes Interesse am Thema hin- 
deutet. Ausgangsbasis der Evaluation 
stellen dabei vom NIST vorgegebene 
Texte in ausgewählten Sprachen dar, die 
von den Aspiranten ins Englische zu über- 
setzen sind. In den Jahren 2005 und 2006 
waren dies Arabisch und Chinesisch. 


Alle Teilnehmer lassen ihre Systeme auf 
die präsentierten Texte los und senden das 
Ergebnis zurück zur NIST. Die Validität 
der Ergebnisse ist somit stets unter der 
Prämisse zu sehen, dass keiner der Wett- 
bewerber schummelt. Beim NIST beurtei- 
len Experten die Übersetzungen durch An- 
wendung eines unter dem Namen BLEU 
(Bilingual Evaluation Understudy) be- 
kannten Bewertungssystems. Der Fokus 
gilt dabei zum einen der Genauigkeit der 
Übersetzung (= der sinngemäßen und voll- 
ständigen Wiedergabe des Gesagten) wie 


44 


der Fähigkeit des Systems, diese Aussagen 
in eine flüssige und sprachgewandte Über- 
setzung zu verpacken. So mancher mag 
bei diesen Worten mit Schaudern an die 
Übersetzungen römischer Dichter im La- 
teinunterricht zurückdenken, die zwar 
sinngemäß gewesen sein mögen, aber 
meist mehr als holprig klangen. 


Neben der menschlichen Bewertung findet 
zudem noch eine automatisierte statt, bei 
der die Auftrittshäufigkeit von Sequenzen 
von Wörtern und Interpunktionszeichen 
im Hinblick auf Referenzübersetzungen 
gemessen wird (siehe [1]). Jenes von IBM 
vorgeschlagene, maschinelle Vergleichs- 
verfahren legte in Tests ein Verhalten an 
den Tag, das dem menschlicher Schieds- 
richter nahekommt. 


Um einen Vergleichswert anführen zu 
können, der praktisch die maximal erreich- 
bare Güte vorgibt, wurde BLEU auch auf 
menschliche Übersetzungen angewandt. 
Gute Übersetzer erreichten dabei für Ara- 
bisch und Chinesisch Ergebnisse zwischen 
0,7 und 0,85, wobei der theoretisch er- 
reichbare Maximalwert mit 1 angesetzt ist. 
Ergebnisse der maschinellen Übersetzer 
sind in der Tabelle rechts exemplarisch 
aufgeführt. 


Interessanterweise funktioniert Sys- 
tran, das schon 1969 das Licht der Welt 
erblickte und heute als das wohl am 
weitesten verbreitete und genutzte Sys- 
tem gelten dürfte, noch immer nach 
diesen Prinzipien. 


Die Sprache in der Mitte 


Übersetzung ist für Menschen ebenso 
wenig trivial wie für Maschinen. Der 
Mensch muss den Text tatsächlich 
verstehen und sozusagen die Gedan- 
ken des Autors lesen. Nur so kann er 
Mehrdeutigkeiten auflösen, die bei 
Wörtern mit mehr als einer Bedeutung 
gegeben sind: Das englische „bank“ 
kann im Deutschen je nach Kontext 
das Ufer eines Flusses, den Ort, an 
den man Geld bringt, wie auch die 
Kurvenlage eines Flugzeugs bezeich- 
nen. Noch schwieriger gestaltet sich 
die Herstellung des Bezuges durch 
Personalpronomina wie „er“ über 
Satzgrenzen hinweg. 

Diese Stolpersteine versuchte die 
Forschung durch ein Festhalten an der 
mit der direkten Übersetzung begon- 
nenen Strategie meistern: Wenn man 
eine Sprache und deren Transfer in ei- 
ne andere durch hinlänglich komplexe 
Regeln unterfüttert, wird die Überset- 
zung irgendwann ausreichend gut. Al- 
so bekamen Heerscharen von Linguis- 
ten die Aufgabe, Spracheigenheiten zu 
modellieren. 

Es folgten fünfzig Jahre Forschung, 
die vor allem der regelbasierten Über- 
setzung ihr Augenmerk widmete. Diese 
setzt vor allem auf der Idee der Inter- 
lingua auf: eine Repräsentation der Se- 
mantik eines Textes in einer abstrakten 
Zwischensprache, aus der der Zieltext 
generiert werden kann. Der Vorteil be- 
steht darin, dass zum einen das Diktat 
einer wörtlichen Übersetzung des Quell- 
textes entfällt, denn es kommt rein auf 
die Erhaltung des Sinns an. Zum ande- 
ren muss nicht mehr für jedes einzelne 
Sprachpaar ein eigener Übersetzer ge- 
baut werden; es genügt, für jede Spra- 
che ein Modul zu konzipieren, das einen 
in ihr abgefassten Text in die Interlin- 
gua überführt (Analyse) sowie aus der 
Interlingua in die Zielsprache leitet (Er- 
zeugung). 

Ein Zwitter zwischen dem Interlin- 
gua-Ansatz und der direkten Überset- 
zung ist der Transfer: Dort gibt es zwar 
ebenfalls eine Zwischenrepräsentation, 
aber sie enthält noch immer Wissen, 
das sich auf die Auflösung von Ambi- 
guitäten bezieht, die inhärent für das 
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gegebene Sprachpaar sind. Den Zu- 
sammenhang zwischen den diversen 
regelbasierten Ansätzen verdeutlicht 
Abbildung 2. 


Viel hilft viel beim Lernen 


Während sich die linguistischen Über- 
setzungsverfahren ohne sonderliche 
Höhen und Tiefen durch die Jahrzehnte 
schleppten, gelang Anfang der Neun- 
ziger ein Quantensprung: Eine IBM- 
Forschungsgruppe des renommierten 
Watson-Labors setzte einen sprachsta- 
tistischen Ansatz um, der alle Regeln 
und jegliches von Experten modellier- 
te Wissen einfach über Bord warf und 
stattdessen rein auf Paralleltexte - in 
verschiedenen Sprachen vorhandene 
Dokumente - setzte (siehe [2]). Damit 
lassen sich Übersetzungssysteme bau- 
en, ohne dass deren menschliche Kon- 
strukteure die Quell- und Zielsprache 
überhaupt verstehen müssen. Mitarbei- 
ter des Information Sciences Institute 
der University of Southern California 
haben derartige Ansätze beispiels- 
weise erfolgreich zur Erforschung von 
Hieroglyphen und alten Schriften ein- 
gesetzt, die bislang Historiker und 
Sprachforscher vor Rätsel stellten (sie- 
he [3]). 

Statistische Verfahren waren zwar in 
der Vergangenheit des Öfteren spora- 
disch ausprobiert worden, allerdings 
ohne nennenswerte Erfolge zu verbu- 
chen. Dass ausgerechnet jetzt die Zeit 
für derartige Verfahren reif war, lag un- 
ter anderem daran, dass die Rechner 
schneller waren und das Web seinen 
Siegeszug antrat. Denn durch das glo- 
bale Netz standen plötzlich große Men- 
gen von Paralleltexten zur Verfügung. 

Ein beliebter Quell für Paralleltexte 
sind beispielsweise die meist in ver- 
schiedenen Sprachen abgefassten Fir- 
menseiten großer Konzerne. Der wohl 


Rang System BLEU-Score 
1 Google 0.4281 
2 IBM 0.3954 
9 Information Sciences Institute 0.3908 
4 RWTH Aachen 0.3906 
5 Applications Technology Inc. 0.3874 
6 Language Weaver 0.3741 
7 BBN Technologies 0.3690 
8 NIT Communication 

Science Laboratories 0.3680 
9 TCirst (Italien) 0.3466 
10 Carnegie Mellon University / 

Univ. Karlsruhe 0.3369 
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Sprachverarbeitung 


Die Vorschläge werden jetzt 


nicht umgesetzt 


werden 


San 


les propositions seront 


mises application maintenant 


Korrespondierende Wörter können in der Übersetzung an gänzlich anderen 
Stellen im Satz zu liegen kommen, wie hier für eine deutsch-französische Über- 


setzung (Abb, 3). 


„parallelste“ aller Texte dürfte zwei- 
felsfrei die in satte 405 Sprachen über- 
setzte Bibel sein. Ebenso gut geeignet 
sind UN-Dokumente und Gesetzestex- 
te der EU, die in alle Sprachen der Eu- 
ropäischen Union übersetzt werden 
müssen. Generell gilt bei der maschi- 
nellen Übersetzung das Paradigma 
„viel hilft viel“. Denn je mehr paralle- 
le Corpora vorhanden sind, desto bes- 
ser ist schließlich die Qualität der 
Übersetzung. Vorsicht: Übersetzungen 
statistisch operierender Systeme lie- 
fern meist nur bei Texten gleichen 
Typs eine überzeugende Leistung. Ein 
vornehmlich auf juristische Texte trai- 
niertes System dürfte sich nur schwer- 
lich auf Erlebniserzählungen anwen- 
den lassen. 


Hinter dem 
Algorithmenvorhang 


Zur Übersetzung eingesetzte Algorith- 
men sind nicht gerade leichte Kost, die 
Intuition dahinter lässt sich hingegen in 
populärwissenschaftlicher Form recht 
anschaulich darlegen. 

Der erste Schritt beim Trainieren ei- 
nes statistischen Übersetzers besteht in 
der getrennten Betrachtung beider sich 
entsprechender Corpora, beispielsweise 
des englischen und seines deutschen 
Pendants. Für jede dieser beiden Text- 
kollektionen erstellt die Maschine nun 
ein Sprachmodell, das Vorhersagen 
über die Anordnung von Wörtern in 
Sätzen zu treffen vermag. Dies funktio- 
niert gut, da die Mengen an Dokumen- 
ten riesig sind und diese somit den gän- 
gigen Gebrauch der Sprache geeignet 
widerspiegeln und abdecken. Das 
Sprachmodell arbeitet dabei auf Basis 
von n-Grammen: Satzfragmenten aus 
maximal n Wörtern. Daraus lässt sich 
beispielsweise ableiten, dass auf „schö- 
nes“ mit höherer Wahrscheinlichkeit 
„Auto“ folgt als umgekehrt. Oder dass 
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das wahrscheinlichste Wort, das auf 
„herzliche“ folgt, „Grüße“ ist. Der Ein- 
satz derartiger Modelle lässt sich heute 
schon bei Mobiltelefonen beobachten, 
die auf diese Weise dem Nutzer das 
mühselige Tippen von Kurzmitteilun- 
gen erleichtern sollen. 

Anschließend erfolgt die Ausrich- 
tung (Alignment) sich entsprechender 
Sätze im betrachteten Sprachpaar: Wel- 
cher Satz im deutschen Korpus ent- 
spricht welchem in der englischen 
Übersetzung? Dies ist aus zwei Grün- 
den kein einfaches Unterfangen: Zum 
einen arbeiten die statistischen Über- 
setzer ohne Wörterbuch - es liegen 
deshalb keine groben Anhaltspunkte 
bezüglich der Korrespondenz von Wör- 
tern vor, die zur Identifizierung des ge- 
suchten Satzes dienen könnten. Zum 
anderen sind Übersetzungen oft nicht 
gänzlich wörtlicher Natur, was häufig 
dazu führt, dass ein Satz in der Quell- 
sprache in zwei oder mehreren Sätze 
der Zielsprache mündet. 


Ganz ohne Wörterbuch 


Die erfolgreiche Durchführung des 
Alignments erlaubt das Erlernen eines 
weiteren Modells, das als Translation 
Model bekannt ist. Kommt beispiels- 
weise in der deutschen Version das 
Wort „Auto“ signifikant oft genau dann 
vor, wenn im entsprechenden engli- 
schen Satz das Wort „car“ auftritt, so 
ist dies ein stichhaltiges Indiz dafür, 
dass „car“ die Übersetzung für „Auto“ 
ist. Ebenso vermag das Translation 
Model Übersetzungen für Wörter zu 
erkennen, die mehr als ein Wort der 
Zielsprache abbilden. Beispielsweise 
wird aus dem deutschen „benötigen“ 
im Französischen ein Konstrukt aus 
drei Wörtern: „avoir besoin de“. 

Mit Paralleltexten lassen sich zudem 
ohne menschliches Zutun bilinguale 
Wörterbücher aufbauen. Hinderlich ist 


dabei jedoch, dass Deklinationen oder 
Konjugationen des gleichen Wortes per 
se nicht erkannt werden. Hier müsste 
Wissen über die morphologischen Ge- 
setzmäßigkeiten einer Sprache einflie- 
ßen. Das Translation Model hat neben 
der Erkennung der jeweiligen Überset- 
zung eines Wortes — dies zudem Dank 
eines n-Gramm-Modells im richtigen 
Kontext — eine weitere Bedeutung: die 
Erkennung des Versatzes im Text der 
Zielsprache. So kann ein englisches 
Wort weit entfernt von dem deutschen 
Wort stehen, das es erzeugt hat (siehe 
Abb. 3). Dies ist eine der größten 
Schwierigkeiten der maschinellen Über- 
setzung überhaupt. 

Aus den gelernten Modellen lassen 
sich nun für einen zu übersetzenden 
Satz Hypothesen für dessen Pendant 
in der Zielsprache bilden. Die wahr- 
scheinlichste darunter —- im Hinblick 
auf die Häufigkeiten der Konstrukte in 
den beiden Modellen — wird als tat- 
sächliche Übersetzung ausgewählt. 


Aus Beispielen lernen 


Ein artverwandter Ansatz ist EBMT 
(Example-Based Machine Translation), 
der sich vor allem bewährt hat, wenn 
die Anwendungsdomäne, aus der die 
zu übersetzenden Texte stammen, häu- 
fig wiederkehrende Satzmuster aufweist. 
Dies ist etwa bei technischen Handbü- 
chern der Fall. Bei EBMT stellen 
ebenso wie bei der statistischen ma- 
schinellen Übersetzung parallele Corpo- 
ra das tragende Element des Ansatzes 
dar. Jeder Satz der Quellsprache wird 
dabei als ein gültiges Beispiel betrach- 
tet. Der Übersetzungsprozess kommt 
dann einer Zerlegung des zu überset- 
zenden Textes in bekannte Fragmente 
gleich, die schließlich durch ihre ent- 
sprechende Übersetzung in der Ziel- 
sprache ersetzt werden. Hier findet 
ebenfalls ein Alignment der beiden 
Corpora als Vorverarbeitung statt. 
Googles Projekt, dessen Leitung 
Franz Och, einem gebürtigen Erlanger, 
obliegt, fußt auf den beiden korpus- 
basierten Ansätzen und verdankt seinen 
Erfolg zweifelsfrei auch der Tatsache, 
dass die Firma einen recht einfachen 
Zugriff auf viele Mengen paralleler Cor- 
pora hat. Seit Kurzem kristallisiert sich 
jedoch ein weiteres statistisches Verfah- 
ren heraus, das ohne diese Paralleltexte 
auskommt: Meaningful Machines, ein 
kleines Start-up an der Ostküste der 
USA, benötigt an deren Stelle eine gro- 
Be Menge von Dokumenten in der Ziel- 


iX 11/2008 


© Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. 


sprache, eine kleine Menge an Texten 
der Quellsprache, sowie ein enorm um- 
fangreiches Wörterbuch, in dem alle 
Flexionen der Substantive, Adjektive 
und Verben aufgeführt sind (siehe [4]). 
Nach eigenen Angaben sei der BLEU- 
Score (siehe den Kasten „Wer über- 
setzt ...‘“) geradezu phänomenal, doch 
muss diese Aussage noch in unabhän- 
gigen Tests, wie eben der Evaluation 
durch die NIST, validiert werden. Laut 
Aussage von Professor Jaime Carbo- 
nell, dem Chief Science Officer von 
Meaningful Machines, ist ein großes 
Manko momentan noch die Geschwin- 
digkeit der Übersetzung, die alles ande- 
re als berauschend sei: Die Software 
rechnet momentan 10 Sekunden an der 
Übersetzung eines Wortes herum [5]. 


Fazit 


Die Zukunft der maschinellen Über- 
setzung gehört eindeutig dem statisti- 
schen Ansatz. Das hat mittlerweile 
sogar der Branchen-Opa Systran ein- 
gesehen, der verlauten ließ, dass er die 
statistischen Methoden zur Verbesse- 


rung seines regelbasierten Ansatzes 
nutzen wolle. Die Aussichten stehen 
gut für einen zweiten Frühling der ma- 
schinellen Übersetzung, denn in Zeiten 
des Terrorismus sind die kleinen 
elektronischen Helferlein wieder ge- 
fragt wie zuletzt während des Kalten 
Krieges. Es verwundert daher wenig, 
dass gerne wieder vollmundige Ver- 
sprechungen in den Mund genommen 
werden. So sagt Kevin Knight, einer 
der Pioniere der statistikbasierten Über- 
setzung, voraus, dass schon bald die 
Güte menschlicher Übersetzung für al- 
les außer Lyrik erreicht werde. Dieser 
Ausspruch klingt, als stamme er aus ei- 
ner Zeit von vor circa 50 Jahren. Ob er 
sich dieses Mal bewahrheitet, bleibt ab- 
zuwarten. (hb) 


DR. CAl ZIEGLER 


arbeitet als Unternehmensberater bei 
der Boston Consulting Group. 
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u \\cschinelle Übersetzung 


Übersetzungssoftware: 
Integration in Unternehmens-IT 


Sprache Gewirr 


Barbara Lange 


Nach der jüngsten Übernahme eines Unternehmens müssen 
Mitarbeiter mit ihren neuen Kollegen aus Indien oder Ungarn 
kommunizieren und die Webdesigner die Site des Konzerns 
mehrsprachig anlegen. Übersetzer aus Fleisch und Blut 
können da kaum helfen - bleiben maschinelle Über- 
setzungssysteme, die aber immer wieder Anlass zu Hohn und 


Spott gegeben haben. 


zu, denn Mehrsprachigkeit ge- 

winnt an Popularität im Zeitalter 
der Globalisierung, in dem internationa- 
le Wirtschaftsbeziehungen und Parla- 
mente Berge von Text erzeugen. Trotz- 
dem ist es nach Einschätzung von 
Branchenkennern nicht leicht, mit ma- 
schineller Übersetzung Geld zu verdie- 
nen. Das gilt zumindest für den Privat- 


D er Bedarf an Übersetzungen nimmt 
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kundenmarkt, denn warum etwas kau- 
fen, wenn es bei Google, Yahoo und ei- 
nigen Herstellern professioneller Über- 
setzungssysteme wie Linguatec, Prompt 
oder Language Weaver kostenlose 
Online-Übersetzungen gibt? Seit Mitte 
2008 bietet zudem Microsoft mit dem 
„Windows Live Translator“ eine On- 
line-Übersetzung von bis zu 500 Wör- 
tern beziehungsweise einer Webseite. 


Für einige der 25 Sprachpaare ver- 
wendet Microsoft eine Eigenentwick- 
lung, die statistische Methoden nutzt, in 
den übrigen Fällen greift das Unterneh- 
men auf das System von Systran zu- 
rück. Wie auf dem Blog (blogs.msdn. 
com/translation) zu lesen ist, können 
Nutzer ein Translator-Add-in in ihre 
Webseiten und in Office integrieren. 

Onlinesysteme liefern zwar eine un- 
genaue, manchmal zur Heiterkeit an- 
regende Rohübersetzung - sie ist aber 
allemal ausreichend für ein grobes Ver- 
ständnis eines Textes und gegebenen- 
falls für die Entscheidung, ob man ihn 
überhaupt gebrauchen kann. 


Firmeninterna online 
übersetzt 


Dass solche Systeme eine Sicherheits- 
lücke in Unternehmen nach sich zie- 
hen, zeigt Heisoft Publishing AG, hier- 
zulande Distributor von Promt und 
Systran, in seiner Studie „Sicherheits- 
lücke: Online-Übersetzung - Online- 
Übersetzungsdienste und IT Sicherheit 
im Intranet“, die iX vorlag. 

Heisoft betreibt einen registrie- 
rungspflichtigen Online-Übersetzungs- 
dienst auf der Basis des Systems von 
Systran und übersetzt täglich 15 000 
bis 20 000 Texte oder Internetdoku- 
mente. Darunter fanden sich Arbeits- 
und Geschäftsverträge, Satzungen und 
andere unternehmensinterne Papiere, 
die Mitarbeiter ganz ungezwungen auf 
ihre unverschlüsselte Server-Reise um 
die Welt schickten. Die Empfehlung: 
Unternehmen sollten den Zugang zu 
Online-Übersetzungsdiensten kappen 
und die Anfragen der Mitarbeiter auf 
eine im Intranet installierte Version 
umleiten. Das kann zudem die Über- 
setzungsqualität erhöhen, sofern das 
Unternehmen eigene Termini und Stan- 
dardformulierungen zentral hinterlegt — 
dazu später mehr. 

Über den Tellerrand der kostenlo- 
sen Übersetzungsdienste hinausge- 
schaut, erkennt man bei den am Markt 
verfügbaren Systemen Unterschiede im 
Funktionsumfang, der mal die Ansprü- 
che unternehmerischer Einzelkämpfer, 
mal die mittelständischer Unternehmen 
oder gar global agierender Großkonzer- 
ne decken soll. 

Die Marktübersicht in diesem Bei- 
trag konzentriert sich auf professionell 
einsetzbare maschinelle Übersetzungs- 
systeme und listet einige Onlinedienste 
auf. Nicht enthalten sind Management- 
systeme, die die Übersetzungsprozesse 
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in großen Unternehmen und professio- 
nellen Übersetzungsbüros verwalten und 
steuern, in denen die maschinelle Über- 
setzungssoftware nur ein Baustein von 
vielen ist. Unberücksichtigt, sozusagen 
auf der anderen Seite bleiben elektro- 
nische Wörterbücher im Taschencom- 
puterformat in der Übersicht. Letztlich 
kann trotz aller Mühe eine Marktüber- 
sicht keinen Anspruch auf Vollständig- 
keit erheben, denn es gibt Überschnei- 
dungen mit anderen Systemen, und der 
Markt verändert sich ständig. 


Hybride Systeme 


vereinen zwei Ansätze 
Wie der Artikel „Babel oder Rosetta“ 


im Heft beschreibt (siehe Seite 42), 
existieren mit regelbasierten und statis- 
tischen Methoden zwei grundlegende 
Ansätze der maschinellen Überset- 
zung. Aber vor dem Hintergrund jahr- 
zehntelanger Forschungen übersetzen 
die meisten der verfügbaren Produkte 
aus historischen Gründen regelbasiert. 
Statistische Verfahren setzen derzeit 
nur Google, Microsoft und Language 
Weaver ein. 

Language Weaver entstand 2002 als 
Spin-off der University of Southern 
California’s Information Sciences Insti- 
tute (USC/ISD. Seit einiger Zeit über- 
setzt der Enterprise Translation Server 
von Language Weaver bis zu 300 Zei- 
chen im System Babylon. Etwas mehr 
darf es bei Across sein, dort bildet er 
einen Bestandteil der zentralen Platt- 
form für alle Sprachressourcen und 
Übersetzungsprozesse im Unternehmen 
Sie heißt Language Server und steuert 
große Übersetzungsprojekte, was den 
Aufwand für das Verfassen und Über- 
setzen von technischen Dokumentatio- 
nen verringern soll. 

Ziel ist eine Wiederverwendbarkeit 
von Übersetzungen, die das System in 
einem zentralen Datenpool vorhält und 
dem professionellen Übersetzer vor- 
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Europaweit: Für das regelbasierte Übersetzungssystem von Systran plant die 


EU zusätzliche Sprachpaare (Abb. 1). 


schlägt, sofern er wieder eine bekannte 
Passage benutzt. Wenn nicht, schlägt 
Language Weaver eine Übersetzung 
vor, die der Nutzer in den ständig mit 
akzeptierten Übersetzungen gefüllten 
Datenpool übernehmen kann. 


Hohe Erwartungshaltung 
bei Kunden abbauen 


Euphorie, was die Übersetzungsqua- 
lität betrifft, kam während der Recher- 
che bei keinem Hersteller auf. Alle be- 
tonen, dass selbst die professionellen 
Systeme nur Rohübersetzungen liefern 
und man als Erstes die hohe Erwar- 
tungshaltung potenzieller Kunden ab- 
bauen müsse. Ein Trend zeichnet sich 
in der Verbindung beider Ansätze zu 
hybriden Systemen ab, die das Beste 
aus beiden Welten integrieren sollen, 


A-TRACT 


© Hersteller und Forschungsprojekte versuchen, regelbasierte und statistische 
Methoden durch die Vorteile des jeweils anderen Ansatzes zu verbessern. 


© Die Übersetzungsqualität lässt sich durch Terminologieverwaltungen, übersetzungs- 
gerechtes Schreiben und Translation Memories verbessern. 


© Unternehmen sollten kostenlose Online-Übersetzungsdienste wegen des hohen 
Sicherheitsrisikos nur zurückhaltend einsetzen. 


© Die Erwartungshaltung gegenüber maschinellen Übersetzern ist oft zu hoch. 
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um die Übersetzungsqualität zu ver- 
bessern. 

Regelbasierte Systeme verfügen 
zwar über linguistisches Wissen und 
kennen die Grammatik einer Sprache, 
ihnen fehlt aber das Wissen über den 
Kontext von Wörtern und Sätzen, was 
die korrekte Übersetzung von mehrdeu- 
tigen Wörtern oder Eigennamen er- 
schwert. Dieses „Weltwissen“ besitzen 
die statistischen Verfahren nach der 
Analyse umfangreicher Paralleltexte. 
Ihnen fehlt es wiederum an Regeln, mit 
denen sie die gefundenen Ausdrücke 
grammatisch richtig kombinieren kön- 
nen. Hybride Verfahren ergänzen das 
jeweils Fehlende. 


Translation Memory 
dient als Vorlage 


So baut Linguatec für seinen ursprüng- 
lich regelbasierten Personal Translator 
einen aus 2,5 Milliarden Wörtern beste- 
henden Korpus auf. Er enthält Informa- 
tionen darüber, welche Begriffe in der 
Regel zusammen mit anderen vorkom- 
men. Auf der Basis eines Kooperations- 
vertrags untersucht Linguatec Texte von 
Google, Nachrichten aus Zeitungen so- 
wie Fachtexte. Darüber hinaus arbeitet 
Linguatec mit einem Translation Memo- 
ry, das die bisherigen Übersetzungen 
des Unternehmens enthält und den spä- 
teren Zugriff darauf ermöglicht. Zu dem 
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Maschinelle Übersetzung 


Anbieter Produkt 

Abacho Online-Übersetzung 
Babylon Lid. Online-Übersetzung 
Google Online-Übersetzung 
Linguatec Online-Übersetzung 
Microsoft Windows Live Translator 
Promt GmbH Online-Übersetzung 


SDL International 
Wörterbuch.Info 
Yahoo Babelfish 


Online-Übersetzung 
Online-Übersetzung 
Online-Übersetzung 


Link 
vebersetzer.abacho.de 
translation.babylon.com 


www.google.de/language_tools®hl=de 


www.linguadict.de 
www. windowslivetranslator.com 


www.online-translator.com 
www. freetranslation.com 


www.woerterbuch.info/volltext-vebersetzung.php 


de.babelfish.yahoo.com 


Methode 

nutzt SW von PROMT 

nutzt SW von Language Weaver 

statistisch 

regelbasiert, ergänzt durch statistische Verfahren 
nutzt Google-Übersetzung plus Eigenentwicklung 
(statistisch) 

hybrid 

hybrid 

nutzt Google 

Systran 


Hersteller Produkt 
Babylon Itd. 

DFKI (hostet Open-Source-System) 
Digital publishing 

Language Weaver 


Openlogos 


Babylon 7; Babylon enterprise 


translate quick/plus/pro/netzwerk 
Enterprise Translation Server, Custom 


Link 
www.babylon.com//ger 
logos-os.dfki.de 
wwv.digitalpublishing.de 
www.languageweaver.com 


Translation Server, Translation On Demand 


Linguatec Sprachtechnologien GmbH 


Lucy Software and Services Lucy Translator www.lucysoftware.com//index_de.html 
Language Engineering Company 2008 Power Translator www.lec.com 
Lingenio translate pro; translate netzwerk www.lingenio.de 
Petamem Petamem Language Server www.petamem.com 
Promt GmbH PROMI Translation server 8.0; Intranet Edition; www.promt.de 
PROMT NET Professional 8.0; PROMT Translation ASP 
Promt GmbH Online-Übersetzung www.online-translator.com 


SDL International 


Systran 


Zweck tauscht Linguatec Daten mit pro- 
fessionellen Translation Memories aus, 
zum Beispiel mit einem führenden Sys- 
tem Trados von SDL International. 

Eine Verbindung der beiden metho- 
dischen Ansätze strebt Euromatrix 
(www.euromatrix.net) ebenso an. Mit 
dem Projekt will die EU die Bedürf- 
nisse der europäischen Mitglieder 
unterstützen. Bislang dominieren die 
USA die Forschung in Bezug auf die 
englische Sprache. In Europa gelten an- 
dere Anforderungen: Zwar übersetzt 
das europäische Parlament seine offi- 
ziellen Papiere derzeit in elf Sprachen, 
die übrigen 12 Amtssprachen gehen 
aber leer aus. 

Die EU nutzt das regelbasiert arbei- 
tende System von Systran und ver- 
spricht sich nun eine schnellere In- 
tegration weiterer Sprachpaare. Das 
schaffen statistische Methoden - geeig- 
nete Paralleltexte vorausgesetzt — eher, 
da sie keine Grammatik benötigen. Ent- 
wickelt haben die Forscher einen statis- 
tischen Decoder namens Moses (www. 
statmt.org/moses), eine Open-Source- 
Werkzeugsammlung, die das Training 
neuer Kombinationen unterstützt, in- 
dem sie zueinander passende Wort- 
gruppen aus Paralleltexten einander 
gegenüberstellt (Alignment) und eine 
Phrasentabelle erzeugt. Mit solchen Ta- 
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PT 2008 NET; PT 2008 Intranet 


SDL Enterprise Translation Server, Knowledge 
Based Translation System 

Business Translator; Premium Translator; 
Enterprise Server 6 etc. 


wwv.linguatec.de 


www.sdl.com/de 


www.systran.de 


bellen und statistischer Übersetzung ar- 
beitet auch Google, das mit seinem 
System tiefen Eindruck in der Überset- 
zungsszene hinterlassen hat. 

Viele Forschungsgruppen und Her- 
steller nutzen Moses als Grundlage, war 
aus Saarbrücken zu erfahren. Dort sitzen 
die Koordinatoren des Projekts um den 
Saarbrücker Computerlinguistik-Pro- 
fessor Prof. Hans Uszkoreit. Projekt- 
partner sind die Edinburgh University, 
die Charles University, CELCT (www. 
celct.it), Morphologic (www .morpho 
logic.hu) und die Group Technologies 
AG (www. .group-technologies.com). 


Verbesserungen durch 
Benutzer-Feedback 


Mittelfristig soll eine Architektur entste- 
hen, die beide Ansätze berücksichtigt. 
Hierfür übersetzen die Wissenschaftler 
Texte mit existierenden Produkten und 
vergleichen die oft unterschiedlichen Er- 
gebnisse, um das Beste aus den Syste- 
men herauszuholen. Hersteller können 
daraus wertvolle Erkenntnisse gewin- 
nen. Im Nachfolgeprojekt Euromatrix, 
das im Februar 2009 ausläuft, wollen 
die Projektbeteiligten das Feedback der 
Nutzer zu den Übersetzungen gleich- 
zeitig zur Verbesserung der Systeme 


Methode 

nutzt SW von Language Weaver 
regelbasiert 

hybrid 

statistisch 


regelbasiert, ergänzt durch statistische Verfahren 
regelbasiert 

regelbasiert 

regelbasiert 

hybrid 

hybrid 


hybrid 
hybrid 


regelbasiert 


verwenden, womit Google seit Länge- 
rem Erfolg hat. 

Wer ein maschinelles Übersetzungs- 
programm in seinem Unternehmen ein- 
setzen möchte, sollte nicht denken, 
dass es „out of the box“ spontan zufrie- 
denstellende Ergebnisse liefert — eine 
Erwartungshaltung, die bei vielen po- 
tenziellen Kunden existiert. Eine funk- 
tionierende Anwendung entsteht nur 
durch eine Integration in die Unterneh- 
mensanwendungen. Das betonten meh- 


Wer den Satz 

Mutter a bitte fest anziehen 

ins Englische übersetzt, erhält: 

a: Mother a please firmly draw 

b: Please make sure a mother attract 
c: A mother ask tighten 
Zurückübersetzt kommt heraus: 

a: Bemuttern Sie bitte fest Attraktion 


b: Machen Sie bitte sicher, dass eine Mutter 
anziehen 


c: Eine Mutter fragen verschärfen 


Maschinelle Übersetzer kommen ohne eine 
Überprüfung durch Sprachkundige noch 
nicht aus. 
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Datei Bearbeiten Ansicht Chronik: Lesezeichen Extras Hilfe 
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Freiraum: Baylon rechnet wohl mit längeren Texten, jedenfalls lädt das 


Eingabefeld dazu ein (Abb. 2). 


rere Hersteller bei der telefonischen Re- 
cherche, zum Beispiel Lucy Software 
and Services. Dort hält man die Einbet- 
tung in das Unternehmensumfeld für 
eine der größten Herausforderungen, 
wichtiger noch als die Übersetzungsal- 
gorithmen. Viele Kunden aus großen 
internationalen Konzernen fragen vor 
allem nach einer SAP-Integration. Im 
Einsatz ist der Lucy Translator, dessen 
Endbenutzerversion Langenscheidt als 
T1 verkauft, unter anderem bei SAP im 
Helpdesk. Denn nachts bearbeiten die 
Kollegen aus Indien die Tickets. 


Fazit 


Systematischer Aufbau und Verwaltung 
einer einheitlichen Terminologie, über- 
setzungsgerechtes Schreiben und die 
Verwendung standardisierter Begriffe 
erhöht die Übersetzungsqualität, sodass 
in eindeutig definierten Fachgebieten 
mit besseren Ergebnissen zu rechnen 
ist. Die Erwartungshaltung der Anwen- 
der ist hoch. Hersteller und Forscher 
stehen vor der Aufgabe, die Qualität der 
angebotenen Übersetzung durch eine 
Kombination regelbasierter mit statis- 
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tischen Verfahren zu verbessern, um die 
Akzeptanz weiter zu erhöhen. 
Erreichbar wird dies nicht allein 
durch eine Verbesserung der Überset- 
zungstechnik, sondern auch durch prak- 
tische Maßnahmen, etwa durch eine 
Erweiterung der Glossare oder einer 
weiteren Einbeziehung von Translation 
Memories. Der Bedarf an maschineller 
Übersetzungssoftware in Unternehmen 
und Parlamenten steigt — dank multilin- 
gualer Informationsfluten im Internet 
und der vielbeschworenen Globalisie- 
rung. Grundsätzlich gilt die Abhängig- 
keit der Übersetzungsqualität vom Kon- 
text, jenseits derer dürfte nach wie vor 
genügend Material anfallen, das zur all- 
gemeinen Erheiterung beitragen wird — 
vom Zeitalter des Übersetzungsim- 
plantats ä la Babelfisch sind alle noch 
weit entfernt. (rh) 


BARBARA LANGE 


ist IT-Journalistin und Inhaberin des 
Redaktionsbüros kurz&einfach in 
Lengede. 
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Netbooks mit Atom-CPU von Acer und Asus 
) ) ) 
Winzigkeiten 


Nikolai Zotow, Ralph Hülsenbusch 


Trotz kleiner Bildschirme und Tastaturen mit Gewöhnungs- 
bedarf: Die Winzlinge im 30-Zentimeter-Format erfreuen sich 
großer Beliebtheit und legen an Leistung zu. Bestechend sind 
Leichtigkeit und die geringe Größe, fraglich ist die Eignung 


fürs Geschäftliche. 


it dem Aspire One hat Acer auf 
M die überraschend erfolgreiche 
Markteinführung des Asus Eee 

PC reagiert. Nachdem die Kategorie des 
Netbooks anfangs nur für Surfen und 
E-Mail unterwegs mit gelegentlichen 
kleineren Office-Aufgaben gedacht war 
[1], mausert sich Acers Aspire One zum 
fast vollwertigen kleinen Subnotebook, 
und Asus zieht mit seinem Eee PC 900a 
nach. Beide nutzen Intels jüngsten 
Spross fürs Mobile, Näheres dazu im 

Textkasten „Intels Atom-Prozessor“. 


m Acers 
= Aspire One 150X 
In der Version 150X verfügt das Aspire 
One über eine 2,5-Zoll-Festplatte mit 
120 GByte und 1 GByte Arbeitsspei- 
cher. Er besteht aus zwei 512 MByte 
großen DDR2-SDRAM-Modulen, von 
denen eins fest auf der Mutterplatine 
verlötet ist. Der Speicher sitzt unter der 
Hauptplatine, was die vollständige Zer- 
legung des Netbooks erfordert. 

Das 150X wird, wie das „X“ in der 
Modellbezeichnung andeutet, mit Win- 
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dows XP ausgeliefert. Die Installations- 
dateien des Betriebssystems befinden 
sich auf einer versteckten Partition der 
Festplatte. Laut offiziellen Angaben ist 
der Rechner für Vista zu klein dimen- 
sioniert. Im Test versah das Aspire One 
dennoch unter Microsoft Windows 
Vista Ultimate seinen Dienst. 

Der mitgelieferte Drei-Zellen-Akku 
mit 2200 mAh hält knapp zwei Stunden 
durch. Empfehlenswert die zusätzliche 
Anschaffung eines mit 2600 mAh und 
sechs Zellen für 99 Euro. Im Testbe- 
trieb, der mit eingeschaltetem WLAN 
und abgeschalteten Schlafmodi im „Bat- 
tery Eater“ (www .batteryeater.com) ei- 
ne Dauernutzung simuliert, hielt eine 
Ladung mit dem mitgelieferten Drei- 
Zellen-Akku maximal 120 Minuten. 

Zwar kleiner als üblich, für gele- 
gentliches Tippen aber ausreichend ist 
das Keyboard. Beim Mauspad befinden 
sich die Tasten nicht wie gewohnt unter 
der Sensorzone, sondern daneben. Das 
erschwert ein Drag & Drop mit einer 
Hand. Der Notebookdeckel besitzt kei- 
ne Verriegelung, er schließt über einen 
Federzug. Man muss mit beiden Hän- 
den zugreifen, um das Notebook zu 


öffnen, was zu unschönen Fingerabdrü- 
cken auf dem Display-Rand führt. 

Wenig Klangfreude wecken die ble- 
chern klingenden eingebauten Laut- 
sprecher. Dafür hat das Aspire One mit 
einem integrierten Mikrofon und einer 
eingebauten Webcam mit 0,3 Mega- 
pixeln Auflösung alles für die Webkon- 
ferenz an Bord. 

Neben WLAN geht es über Ethernet 
ins LAN. Positiv fällt der kleine Schie- 
beschalter an der Vorderseite zum Ab- 
schalten des drahtlosen Netzes auf. 
Acers Netbook besitzt zwei Card 
Reader: Einer dient unter Linux als Er- 
weiterung des SSD-Plattenbereiches, 
unter Windows fungiert er als weiteres 
logisches Laufwerk, ausschließlich mit 
SD-Karten. Der andere Multi-Card- 
Reader eignet sich darüber hinaus für 
alle anderen Varianten. 

Acer hat das Aspire One für Privat- 
anwender konzipiert. Nicht zuletzt das 
spiegelnde Display und der glänzende 
Schäuble-Kollektor, die Fingerabdruck- 
sammelfläche auf dem Notebookdeckel, 
schränken den Einsatz im harten All- 
tagsgeschäft ein. Der Bildschirm wäre 
hell genug für die Nutzung unter freiem 
Himmel sowie in hellen Räumen. Lei- 
der macht das „Crystal Brite“-Display 
den Vorteil zunichte. Von der Leistung 
her reichen die Ressourcen durchaus für 
den mobilen professionellen Einsatz, 
wie die Experimente mit den üblichen 
Büroanwendungen unter Vista gezeigt 
haben. Acer will das Aspire One 150X 
ab Mitte Oktober mit einer 160 GByte 
großen Festplatte ausliefern. 


Netbooks 


Identische Hardware: Atom N270, 1,6 GHz, 

24 KByte L1-, 512 KByte L2-Cache, 533 MHz 
Frontside-Bus; Chipset „Poulsbo” (945GSE mit 
82945GBM); kein Bluetooth; 10/100-MBit- 
Ethernet, drei USB; Kopfhörer- und Mikrofonan- 
schluss, 0,3-Megapixel-Webcam mit Mikro; VGA 


Acer Aspire One 150X 


Hardware: SATA Festplatte, 2,5 Zoll, 
120 GByte; 1 GByte RAM (2 x 512 GByte, 
ein Modul nicht wechselbar]; zwei SD-Slots 


Hersteller: Acer, www.acer.de 
Preis: 389 Euro (brutto) 


Asus Eee PC 900A 


Hardware: SDD-Modul, 8 GByte; 1 GByte 
RAM [1 Slot); SD-Slot 

Hersteller: Asus, www.asus.de 

Preis: 278 Euro (brutto) 
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Laptops 


Entgegen dem ersten Anschein 
(Abbildung) lässt sich das 150X nicht 
nachträglich mit einem UMTS-Modul 
ausrüsten. Der freie Slot ist zwar vor- 
handen, es fehlt aber die integrierte 
Antenne. 


7 Asus Eee PC 900A 


Beim Eee PC hat Asus UMTS/GPRS 
bis dato nicht vorgesehen. Der Her- 
steller schickte das Modell 900A auf 
Wunsch mit Xandros-Linux basierend 
auf dem Kernel 2.6.21.4-eeepc. 

Asus’ 900A verfügt über 1 GByte 
DDR2-RAM und eine 8 GByte große 
Solid State Disk (SSD), zur Hälfte be- 
legt. Der Bildschirm hat mit 8,9 Zoll 
dieselbe Größe wie beim Aspire One. 
Hauptsächliche Unterschiede zum Aspire 
One stecken im Detail. Der Eee PC ist 


Intels Atom-Prozessor 


Der jüngste Spross für Eingebettete aus 
Intels Chipschmiede, der Atom namens 
Diamondville, besitzt zwei Ableger für 
PCs: den N270 für Netbooks und den 230 
für „Nettops“, die sparsamen Desktop- 
Rechner. Den Atom-Prozessor produziert 
Intel in 45-Nanometer-Technik. Von der 
Sockelgröße her zählt er zu den kleinsten 
x86ern. Beide Varianten laufen mit 1,6 
GHz, haben einen 533 MHz schnellen 
Frontside-Bus, 24 KByte L1- und 512 
KByte L2-Cache. Der Chipset „Poulsbo“ 
vereint den 945GSE und 82945GBM für 
die Grafik in einem Baustein. Der Atom 
kommt mit einer Leistung von 0,6 bis 2,5 
Watt aus — ein Zehntel des in Subnote- 
books verbreiteten Centrino M. Atom und 
Poulsbo bilden die Menlow-Plattform, die 
Intel als Centrino Atom vermarktet. Wie- 
der aufgenommen hat Intel beim Atom 
das Hyper-Threading (HT), sodass aus 
Sicht des Betriebssystems zwei logische 
CPUs zur Verfügung stehen - nicht zu 
verwechseln mit der Dual-Core-Technik. 
Asus nutzt bei seinem Eee PC die HT- 
Option jedoch nicht. 
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Eingeschränkt: 

Bei Acers Aspire One 
ist der eine Speicher- 
baustein fest 
verdrahtet, wechseln 
lässt sich nur der 
zweite. 


völlig geräuschlos, verbraucht weniger 
Strom und erlaubt ein längeres Arbeiten 
mit einer Akkuladung, dank SSD. Asus 
spricht von vier Stunden unter Linux bei 
abgeschalteten WLAN, Bluetooth und 
Kamera. Der Bildschirm ist nicht ver- 
spiegelt, sodass ein heller Hintergrund 
die Lesbarkeit kaum beeinträchtigt. 

Kompaktheit hat ihren Preis: Der 
Eee PC 900A besitzt fast die gleichen 
Maße wie der erste Eee PC 4G [1] und 
ist 2,5 cm schmaler als das Aspire 
One, was zu noch kleinerer Tastatur 
führt. Das Mauspad hat sein Tasten- 
feld am unteren Ende, es besteht aus 
einem Stück und funktioniert wie eine 
Wippe. Nicht sofort erkennt man auf 
der Tastatur, dass einige Sonderzei- 
chen wie Pipe, Größer- und Kleiner- 
Zeichen sowie die Funktionen für sei- 
tenweises Blättern nur über die blaue 
Funktionstaste „FN“ erreichbar sind. 
Als Schalter zum geschwinden Kap- 
pen der drahtlosen Verbindungen dient 
FN+F2. 

Unter der im Boden befindlichen Plat- 
te erreicht man nach Lösen der beiden 
Schrauben die SSD und den Speicherrie- 
gel, für den es nur einen Steckplatz gibt. 
Die Ausstattung mit Schnittstellen ist 
nahezu identisch mit der des Aspire One, 
nur der zweite SD-Slot fehlt. Und wie 
das Gerät von Acer verfügt auch der 
Eee PC 900A über eine eingebaute 0,3- 
Megapixel-Kamera nebst Mikrofon. 
Am Markt ist es ab 278 Euro zu haben. 


Fazit 


Innerhalb des letzten halben Jahres ha- 
ben die Netbooks von der technischen 
Entwicklung profitiert. Ein Gigabyte 
Hauptspeicher gehören zur üblichen 
Ausstattung, nur beim Massenspeicher 
scheiden sich die Geister. Für eine nor- 
male Harddisk spricht, dass sie viel 
Speicher für wenig Geld bereitstellt, 
dafür aber mehr Strom verbraucht als 
die vergleichsweise teuren SSDs. Au- 


gu 


| S-Wertung 
Acer Aspire One 150X 
© zweiter SD-Slot 
© 120-GByte-Festplatte (SATA) 
© Hyper-Threading aktivierbar 


© Speicher nur schwer zu erweitern 
© Festplatte nicht wechselbar 

© kein UMTS/GPRS 

© kein Bluetooth 


Asus Eee PC 900A 

@® lange Akkulaufzeit 

© geräuschlos 

@ SSD und Speicher zugänglich 


© kleiner Massenspeicher 
© kleine Tasten 

© kein Hyper-Threading 
© kein Bluetooth 


ßerdem sind mechanische Laufwerke 
stoßempfindlicher als rein elektroni- 
sche SSDs. Abgesehen davon, dass 
Harddisk nicht geräuschlos sind und 
zusätzlich Wärme abgeben, was eine 
entsprechende Kühlung erfordert. 

Ob er Windows oder Linux auf den 
Minis den Vorzug geben möchte, kann 
der Kunde selbst entscheiden. XP 
braucht mehr Speicher, fügt sich aber in 
der Regel reibungsloser in die betriebli- 
che Umgebung ein. Linux kommt samt 
einer kompletten Büroumgebung nebst 
einiger Werkzeuge mit 4 GByte auf dem 
Speichermedium aus, solange es sinn- 
voll eingerichtet wurde. Wer aber den 
Verlockungen weiter Add-ons erliegt, 
gar eine komplette Entwicklungsum- 
gebung nutzen möchte, stößt bei SSDs 
schnell an Grenzen. 

Mit beiden Netbooks lassen sich die 
üblichen Tätigkeiten, die man unter- 
wegs mit einem Notebook durchführen 
möchte, erledigen — zur Entspannung 
kann man auch mal Musik hören oder 
einen Film anschauen, allerdings nur 
von einem USB-Medium oder einer 
Memory-Card. (rh) 


Literatur 


[1] Martin Schmitz; Mini-Notebook; 
Leicht befunden; Berufliche Eignung 
des Low-Cost Eee PC 4G von Asus; 
iX 4/2008, S.87 IR 
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Notebook 


Z: Test schickte Acer ein Tra- 
velmate 5530G 703G25Mi mit 
AMDs RM-70-CPU, die 2 GHz 
schnell und deren L2-Cache 1 MByte 
groß ist. Das professionelle Notebook 
taucht in drei Untervarianten auf: als 
702, 703 und 823. Der Unterschied 
liegt in der Ausstattung. Acer bietet es 
mit 2 und 3 GByte von Haus aus an. 
Der 823er arbeitet mit dem ZM-82- 
Prozessor von AMD, der mit 2,2 GHz 
läuft und einen 2 MByte großen L2- 
Cache besitzt. 

Acers Travelmate 5530G betreibt ei- 
ne ATI HD 3200 und eine HD 3470 X2 
zusammen als sogenannte Hybrid 
Crossfire. Das heißt, beide Prozessoren 
arbeiten im Wechsel, was die Leistung 
in die Nähe einer High-End-Grafik brin- 
gen soll. Das Ergebnis bleibt aber weit 


Daten und Preise 


Travelmate 5530 703625Mi 


Hardware: AMDs Turion X2 RM-70, 2 GHz, 
24/24 KByte LI-, 1 MByte L2-Cache; 3 GByte 
RAM (ein 1024-MByte-, ein 2048-MByte- 
Modul DDR2-RAM]; ATI HD 3200 (on board), 
HD 3470 X2 (256 MByte]; 15,4 " WXGA,; 
250 GByte SATA; DVD (DL); Fingerabdruck- 
sensor; Klinkenbuchse für Audio-in, -out und 
Mikrofon, Stereo-Mikro und -Lautsprecher ein- 
gebaut; Webcam; Broadcom Netxtreme 
Gigabit Ethernet (auf 10/100 MBit limitiert] 
4x USB; HDMI; eSATA; VGA; Modem; 
Docking-Anschluss 

Software: Crystal Eye View; Empowering 
Technology; Bio Protection; Grid Vista 


Hersteller: Acer, www.acer.de 
Preis: 671,43 Euro 
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darunter. Man mag einwenden, dass das 
für Profi-Notebooks unwichtig sei, aber 
die Zahl der grafiklastigen Anwendun- 
gen wächst. Ab der Treiberversion 8.8 
soll auch XP Hybrid-Crossfire unter- 
stützen, installiert war 8.479.1.0. Im 
3DMark und bleibt die Kombination mit 
1671 im unteren Drittel. 

Für den professionellen Einsatz be- 
stechender ist die Ausstattung mit 
3 GByte DDR2-RAM, die sich auf 
4 GByte erweitern lassen, und die 250 
GByte große SATA-Platte. Das hat 
allerdings seinen Preis. Im Dauerbetrieb 
mit aktiviertem WLAN reicht die Ak- 
ku-Ladung für höchstens 1,5 Stunden. 
WLAN und Bluetooth besitzen separate 
Schalter, lassen sich also ad-hoc still- 
legen und sind nach wenigen Minuten 
wieder aktiv — eine ratsame Spar- und 
Sicherheitsmaßnahme. Es fehlt ein 
UMTS/GPRS-Modul, was die Freiheit 
erheblich einschränkt — schlimmer noch, 
es ist nicht vorgesehen. Bleibt also nur 
der Ausweg über USB oder PC-Karten. 
Innovativ sind HDMI und eSATA. 

Zu den Geschmacksachen zählt die 
leicht geschwungene Tastatur, die wohl 
die Handgelenke etwas entlasten soll. 
Im Test ließ sich gut damit arbeiten, 
einzig bei den am linken Rand ange- 
brachten Sondertasten kam es gelegent- 
lich zu Missgriffen. Ebenso exotisch ist 
die Lage der Währungssymbole für Eu- 
ro und US-$ im Cursorblock. 

Konzessionen an neue Medien in der 
Kommunikation sind das integrierte Ste- 
reomikrofon und die im Bildschirmrah- 
men eingebaute Kamera. Andererseits 
hat Acer besonderen Wert auf Sicherheit 
gelegt und einen Fingerabdruckleser 


Acers Notebook mit 
AMDSs Turion: Travelmate 5530 


Schwungvo 


Ralph Hülsenbusch 


Als Notebook für Profis mit hoher 
Performance bewirbt Acer sein Notebook 
Travelmate 5530, bietet es aber seinem 
gesamten Kundenkreis an. Vom Preis her liegt 
es auf dem Niveau handelsüblicher Laptops. 


zwischen die beiden Maustasten gebaut. 
Dazu installiert der Hersteller sein Soft- 
warepaket Bio Protection ab Werk. Es 
verlangt allerdings die komplette Ver- 
riegelung von BIOS und Harddisk mit 
Passwörtern. Als weitere Pakete liegen 
Acers Crystal Eye View für die Web- 
cam, Empowering Technologie und 
Grid View bei. Bei Letzterem handelt es 
sich um die Option, mehrere Desktops 
darstellen zu können. 

Zu guter Letzt kann Acers Travel- 
mate bei der Verarbeitung punkten: mit 
straffer Mechanik, übersichtlicher Be- 
schriftung sämtlicher Schnittstellen 
seitlich der Tastatur und vor allem mit 
dem gut erreichbaren Zugang zu Spei- 
cher, Festplatte sowie WLAN-Modul. 
Zwar sind ein paar Schrauben mehr zu 
lösen, dafür kommt man an die Module 
gut heran und erreicht zugleich den 
Lüfter. Das kann hilfreich beim Ent- 
fernen unliebsamer Staubmäuse sein, 
die manch anderem Laptop schon den 
Garaus gemacht haben. 


Fazit 


Travelmate 5530G ist das erste Note- 
book von Acer mit AMDs Mobilepro- 
zessor Turion, Codename Puma. Der 
Hersteller bietet es allen Kunden an, 
was den technischen Gegebenheiten 
nicht in jedem Fall entspricht. Für das 
Home Entertainment fehlt es an Leis- 
tung bei der Grafik, für die Mobilität 
UMTS/GPRS. Dafür gibt es Optionen 
wie PC-Card und HDMI, die ein Argu- 
ment sein könnten, sich für das solide 
Gerät zu entscheiden. (ch) X 
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Datensicherheit 


Laptop von Dell mit geschützter Platte 


Schlossendlich 


Ralph Hülsenbusch, Volker Tanger 


Das Notebook ist weg - ärgerlich zwar, 
aber an die Daten kommt sowieso niemand 
heran, denn schließlich handelt es 


sich ja um das Latitude D630 
mit der hardwaregestützten 
Verschlüsselungtechnik 

von Seagate - da kann 
eigentlich nichts passieren. 


m wichtige Daten vor Fremden 
U zu schützen, haben eine ganze 

Reihe von Hard- und Software- 
herstellern Produkte entwickelt, die 
über das übliche Vergeben eines Pass- 
wortes oder das einfache Verschlüsseln 
von Dateien hinausgehen. Jüngstes Er- 
gebnis solcher Entwicklungen ist eine 
Festplatte namens „Momentus 5400 
FDE.2“ von Seagate, wobei FDE für 
„Full Disk Encrypted“ steht. 

Sämtliche Daten auf dem Speicher- 
medium zu verschlüsseln bringt Vortei- 
le: Der Anwender braucht sich nicht 
um spezielle Daten zu kümmern wie 
ausgelagerte Speicherbereiche, Caches, 
Konfigurationsdateien oder Anwen- 
dungskonfigurationen, sie bleiben für 
Nichtautorisierte verborgen. Dem ste- 


Verwalten 
Kennwort andern 


Kennnorteinstellungen 


TPA4-Sicherhmitschip Staus & Aktiven Bentzer hegt von & 
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hen gegenüber: Die permanente Ver- 
schlüsselung geht zu Lasten des Daten- 
durchsatzes, bei Notebooks muss man 
auf den Schlafzustand verzichten, da 
das Betriebssystem beim Neustart auf 
verschlüsselte Daten trifft, und zentrale 
Updates sowie Patches können für sta- 
tionäre Systeme nur im aktivierten Zu- 
stand funktionieren. 

Dell liefert zum Test sein Latitude 
D630 mit Seagates STISOS16AS (80 
GByte, 5400 UpM); der Zugriffsschutz 
war deaktiviert. Der Eigentümer muss 
zuerst in der mitgelieferten Sicherheits- 
software von Wave (www.wave.com), 
dem Embassy Security Center, den 
„Trusted Drive Manager“ (TDM) finden 
und aufrufen. Nachdem das Programm 
das FDE-Laufwerk lokalisiert hat, kann 
er es „initialisieren‘“, 
indem er ein Passwort 
vergibt und bestätigt. 
Danach darf er weite- 
ren Benutzern Zugang 
per Passwort erlauben. 
Zur Sicherheit bietet 
ihm der TDM noch 
an, die Informationen 
auf einem Wechsel- 


Vertrauenssache: 

Im Embassy Security 
Center gibt es die 
Verwaltungs- 
oberfläche für das 
Trusted Drive - hier 
ist der Schutz lokal 
eingerichtet. 


Weitere Informationen 


medium, etwa einem USB-Stick, zu 
hinterlegen. Den soll man tunlichst nicht 
offen herumliegen lassen, da alle Daten 
wie Seriennummer, Security-ID, Benut- 
zernamen und Domain in einer XML- 
Datei im Klartext gespeichert sind, 
selbst das Passwort. Der Hersteller argu- 
mentiert, dass dies beabsichtigt sei. Es 
handle sich um ein Grundprinzip von 
IT-Sicherheit: Am Ende der Sicherungs- 
kette müssten die Daten im Klartext zu- 
gänglich sein. Wären diese immer noch 
verschlüsselt, bestünde die Gefahr das 
man nicht mehr an die Daten komme. 
Selbstverständlich gehöre das USB- 
Drive eingeschlossen. Man habe diese 
Methode als die für den Einzelnutzer 
wohl am praktischste ausgewählt, da 
solche Medien überall verfügbar sind. 


Für zentrale 
Administration konzipiert 


In der Regel dürfte aber die Alternative 
für Firmen der bessere Weg sein: Der 
Admin des Hauses kann sämtliche FDE- 
Notebooks, die im Netz sind, zentral mit 
je einem Passwort versehen und auf ei- 
nem Server verwalten. Dazu muss dort 
der TDM remote installiert sein, was 
Kosten in Höhe von rund 1400 Euro für 
20 Benutzer verursacht. 

Auf dem Notebook war in einer vir- 
tuellen Umgebung unter VMwares Play- 
er der Windows Server 2003 nebst 
TDM installiert, sodass man im Virtuel- 
len die Rolle des Administrators spielen 
konnte. Zusätzlich lag eine Datei auf 
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dem Desktop, die eine genaue Anleitung 
für das Experiment enthielt - es funktio- 
niert ohne langwierige Einarbeitung. 

Nimmt man die Technik genauer 
unter die Lupe, erkennt man einen 
maßgeblichen Unterschied zu anderen 
Verschlüsselungsmethoden: Der Con- 
troller der Momentus FDE von Seagate 
verschlüsselt immer. Der Passwort- 
schutz steuert das Entschlüsseln, indem 
er ohne Vergabe die Daten für jeden 
bereitstellt, beim Aktivieren des Schut- 
zes jedoch nur noch für die autorisier- 
ten Benutzer. Im Test bewies ein Plat- 
tenperformance-Test, dass es zwischen 
geschützter und nicht geschützter Platte 
keinen Unterschied im Durchsatz gibt. 
Die Messungen mit dem Bonnie liefer- 
ten bis auf die Nachkommastellen ge- 
nau dieselben Resultate. 

Danach fanden weitere Experimente 
statt, unter anderem der Versuch, das 
geschützte Laufwerk in einem anderen 
Notebook zu verwenden. Wie zu er- 
warten, ist ein Zugriff auf die Daten 
nicht möglich, der Rechner findet keine 
bootfähige Platte. Per USB über einen 
externen Anschluss an einem PC be- 
trieben, erscheint die 80 GByte große 
Momentus 5400 FDE mit einem 128 
MByte großen unformatierten Bereich, 
der Rest bleibt unsichtbar. Nach dem 
Entriegeln hat man eine „normale“ 
Harddisk mit Filesystemen vor sich, in 
diesem Fall NTFS. 


Allein das 


Passwort schützt 


Laut Aussage von Seagate nutzt die 
Passwortvergabe dieselbe Technik wie 
der Passwortschutz im BIOS für Fest- 
platten im ATA-Modus. Prinzipiell kann 
der Anwender mit dem geschützten 
Laufwerk von einem Notebook zu ei- 
nem anderen wechseln — etwa bei einer 
Neuanschaffung. Doch sogar bei dem- 
selben Hersteller ist nicht garantiert, 
dass das BIOS respektive der Controller 
das Passwort richtig erkennt. Die Her- 
steller weichen in ihren Regeln für gülti- 


X-Wertung 
© einfache Handhabung 


& zentralisierter Schutz für Notebooks 


© XML-Datei mit Nutzerdaten nicht 
verschlüsselt 


© nur für Windows XP 
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Laborbericht extern 


Bei den Versuchen, der Verschlüsselung 
auf den Zahn zu fühlen und eventuelle Si- 
cherheitslücken zu finden, traten folgende 
Dinge zutage: 

Solange die Festplatte noch mit Strom ver- 
sorgt wird, bleibt die Freischaltung erhal- 
ten. Wäre es möglich, einen Warmstart 
auszulösen, könnte ein Angreifer etwa mit 
einer Linux-CD/DVD immer noch auf die 
ungeschützte Platte zugreifen. Hibernate- 
to-Disk, hartes Stromabschalten, Reboot 
und ähnliche Methoden setzen die Platte 
auf „verriegelt“ zurück. 


In diesem Fall erscheint das Laufwerk oh- 
ne Partitionstabelle mit einer Größe von 
134 MByte beim 120-GByte-Modell und 
128 MByte bei dem mit 80 GByte. Auf der 
Mini-,,Platte“ befindet sich ein 21 KByte 
großer Bootloader (pbMBR v1016), der ei- 
ne mit dem aus alten DOS-Zeiten bekann- 
ten EXE-Packer PKLITE komprimierte 
EXE-Datei startet. Sie lässt sich mit 
UNP.EXE dekomprimieren und enthüllt 
ein DOS-Programm, das zwar für Bild- 
schirmausgaben und Zeitabfragen BIOS- 
Interrupts nutzt, für Tastaturabfragen dage- 


ge Passwörter voneinander ab. Außer- 
dem hat jeder seine eigene Methode, das 
Passwort auf die Länge von 128 Bit 
(AES) aufzufüllen. Es gibt allerdings 
Bestrebungen, im ATA-Standard für ei- 
ne Vereinheitlichung zu sorgen. Dell je- 
denfalls sichert zu, dass man die FDE- 
Platte weiterverwenden kann. 
Datenschutz per FDE-Platte zu ge- 
nießen erfordert zuverlässige und eben- 
so gut geschützte Sicherungsverfahren, 
denn kommt es zum Malheur, etwa 
durch einen technischen Defekt oder 
Verlust des Notebooks, sind die Daten 
unwiederbringlich verloren. Wer ein 
FDE-Notebook klaut, kommt an die 
gespeicherten Informationen nicht her- 
an, da er in der Passwortabfrage hän- 
gen bleibt und den Rechner nicht hoch- 
fahren kann. Mit einer Live-CD kann 


Daten und Preise 


Latitude D630 FDE 


Hardware: Core 2 Duo T7300, 2 GHz; 

2,5 GByte RAM; Momentus 5400 FDE.2 von 
Seagate ST980816AS, 80 GByte; 14,1 Zoll 
TFT-Display, 1280 x 800 


Software: Dell Wave Embassy Security Center 
Hersteller/Anbieter: Dell, www.dell.de 


Preis: D630 FDE 702 € (Teststellung, 
FDE-Disk 27 € Aufpreis], 
Wave Embassy Remote 1400 € [20 User) 


gen direkt auf Hardwareregister zugreift. 
Außerdem nutzt die Software direkt die 
Register eines PCI-on-board-ATA-Con- 
trollers. Das erklärt, warum eine Entriege- 
lung der FDE-Platte über einen USB- 
Adapter nicht funktioniert. 


Als Gegenprobe kam die entpackte EXE- 
Datei auf eine PC-DOS-Diskette, von der 
aus der Rechner ein klassisches DOS 
hochfährt. Ruft man die Datei vom DOS- 
Prompt auf und gibt Benutzernamen und 
Passwort ein, beendet sich das Pro- 
gramm. Beim anschließenden Warmstart 
etwa mit einer Linux-Boot-CD ist die 
Platte entriegelt. 


Untersuchungen mit dem ATA Forensic 
Toolkit (TAFT) und HDAT?2 sowie Li- 
nux-Tools ergaben keinen Hinweis, dass 
der Controller einfach die Host Protected 
Area (HPA) oder ein Device Configu- 
ration Overlay (DCO) nutzt. Allerdings 
scheint er sowohl im verriegelten als auch 
im offenen Zustand auf eine ganze Reihe 
von ATA-Kommandos fehlerhaft zu rea- 
gieren, er unterstützt zum Beispiel kein 
SMART-Monitoring. 


er bestenfalls auf das Entschlüsselungs- 
tool in der Minipartition zugreifen. 


Fazit 


Notebooks mit FDE-Platten und einer 
zentralen Verwaltung bieten einige Vor- 
teile: Sie sind geschützt und der Nutzer 
braucht nur seine Zugangsdaten zu ken- 
nen. Dell bietet auch andere Latitude- 
Modelle mit verschlüsselten Laufwer- 
ken an. 

Bei FDE-Platten entfällt das zeitauf- 
wendige sichere Löschen der Daten 
durch mehrfaches Überschreiben, wie 
es der US-amerikanische Standard 
NISPOM (US DoD 5220.22-M) und 
die Richtlinie zum Geheimschutz von 
Verschlusssachen beim Einsatz von In- 
formationstechnik des Bundesamtes für 
Sicherheit in der Informationstechnik 
vorschreiben. Das kann bei heute üb- 
lichen Festplatten mit mehreren 100 
GByte bis zu einer Woche dauern. Des- 
halb arbeitet Seagate inzwischen an ei- 
nem Verfahren, die Technik auf Massen- 
speicher von Servern anzupassen. (th) 


VOLKER TANGER 


ist Security Consultant bei der 
HiSolutions AG in Berlin. 
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LCDs 


Färar 


Drei Monitore 


mit RGB-LED-Backlight 


Dreigestirn 


Dieter Michel 


Langsam, aber sicher erobern LC-Displays mit LED-Hintergrund- 
beleuchtung die Regionen außerhalb der Druckvorstufe. Erste 
Vertreter aus Büroumfeld und Videobearbeitung mussten im 

iXLabor einem Repräsentanten des Preprints gegenübertreten. 


ls das Fachpublikum den ersten 
A eresemenisr mit LED- 

Backlight zunächst noch wie ein 
exotisches Tier beäugte, waren die po- 
tenziellen Vorteile der Technik bereits 
erkennbar: Die Intensität der Primärfar- 
ben Rot, Grün und Blau lässt sich über 
die Hintergrundbeleuchtung individuell 
steuern. Statt die Farbtemperatur über 
das LCD-Panel zu beeinflussen und da- 
bei den Kontrastumfang und die Hel- 
ligkeitsabstufungen in den einzelnen 
Farbkanälen zu opfern, kann man die 
Farbtemperatur sehr genau allein mit 
dem Backlight einstellen und gegebe- 
nenfalls sogar mit Farbsensoren kon- 
stant halten. 

Da Leuchtdioden ein Licht mit ho- 
her spektraler Reinheit und sehr hoher 
Farbsättigung erzeugen, lassen sich mit 
ihnen Monitore mit großem Farbraum 
bauen. Inzwischen gibt es LED-Back- 
lights aber nicht nur bei Profi-Monito- 
ren für Druckvorstufe und Grafik, viel- 
mehr findet man die LED-Technik 
bereits in den ersten Büromonitoren. 
Der Testbericht stellt drei Bildschirme 
vor, die das gegenwärtig verfügbare 
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Spektrum abdecken - es reicht vom 
Büromonitor mit erweitertem Farbraum 
über einen hardwarekalibrierbaren Mo- 
nitor, der sich besonders für die Druck- 
vorstufe eignet, bis hin zu einem Multi- 
talent mit wählbaren Farbräumen sowie 
analogen und digitalen Videoeingängen 
und Bild-im-Bild- oder Picture-in-Pic- 
ture-Funktionen (PiP). 

Das breite Display-Format, das alle 
drei getesteten Monitore aufweisen, 
bietet eine Auflösung von 1920 x 1200 
Bildpunkten, ermöglicht also ohne 
Interpolation eine verlustfreie Darstel- 


lung des vollen High-Definition-For- 
mats von 1920 x 1080 Bildpunkten. 
Mit einem Seitenverhältnis von 16:10 
ist die Bildhöhe (um 120 Zeilen) etwas 
größer als bei HD, dadurch passt zum 
Beispiel bei der Videobearbeitung die 
Timeline unter die Filmvorschau. An- 
wendern im Print-Bereich kommt das 
Format insofern entgegen, als es die 
Darstellung auch einer Doppelseite in 
guter Auflösung erlaubt und dabei am 
seitlichen Rand noch Platz bleibt für 
Werkzeugpaletten und sonstige Be- 
dienfunktionen, etwa eines Layout-Pro- 
gramms. 


Der Preis der Anwendung 


Beim Thema Print- und Videoproduk- 
tion kommt — wenn es um Monitore 
mit professionellem Anspruch geht — 
auch gleich die Frage der Farbwieder- 
gabe ins Spiel. Beim Layout von Print- 
Produkten am Bildschirm möchte man 
gleich sehen, wie das Endprodukt aus- 
sieht („what you see is what you get“) 
— Ähnliches gilt für die Videobearbei- 
tung. Bei hohen Ansprüchen an die 
Farbtreue der Bildschirmdarstellung 
kommt man normalerweise um eine 
Farbkalibrierung mit passender Soft- 


aufwarten. 


Farbabstufungen lässt. 


A-TRACT 


@ LCD-Monitore mit einer Hintergrundbeleuchtung aus RGB-LEDs können mit einer 
hohen Farbsättigung der Primärfarben und einem demzufolge großen Farbraum 


© Der große Farbraum (Gamut] erlaubt die Emulation verschiedener Standard- 
farbräume und oft auch die Wiedergabe des vollen Offsetdruck-Farbraums. 


© Bei der [Hardware-)Kalibrierung lässt sich der Weißpunkt allein mit dem LED- 
Backlight einstellen, was mehr Reserven für detailgetreue Helligkeits- und 
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ware und einem tauglichen Farbsensor 
nicht herum. 

Hier unterscheiden sich die drei 
Testkandidaten sowohl im Anspruch 
als auch im Preis: Der Viewsonic 
VLED221wm ist ein professioneller 
Büromonitor für unter 400 Euro netto, 
der Samsung XL24 ein hardwarekali- 
brierbarer Monitor, der speziell für die 
Bildbearbeitung konzipiert wurde und 
mit 1680 Euro viermal so teuer ist, da- 
für aber mit passender Kalibriersoft- 
ware sowie dem Farbsensor Xrite 
(ehemals Gretag Macbeth) Display 2 
ausgestattet. Der HP Dreamcolor 
LP2480zx schließlich ist ein Multita- 
lent auf hohem Niveau, das neben ei- 
nem großen nativen Farbraum und 
zahlreichen Farbraumemulationen nach 
internationalen Standards mehrere Op- 
tionen der Videowiedergabe sowie die 
Farbkalibrierung bietet. Auch HDMI 
und eine Displayport-Buchse fehlen 
nicht. Dafür liegt der LP2480zx mit ei- 
nem Netto-Listenpreis von 2299 Euro 
deutlich über dem Samsung XL24. 


HP Dreamcolor 


LP2480zx 


Der HP Dreamcolor LP2480zx ist im 
Testumfeld zwar der teuerste Monitor, 
dafür aber auch mit dem größten Funk- 
tionsumfang ausgestattet. Das Gehäu- 
se, in mattem Schwarz gehalten, lenkt 
nicht vom Bildschirminhalt ab. Der 
Standfuß nimmt wenig Platz auf dem 
Schreibtisch ein, hinterlässt trotzdem 
einen soliden und stabilen Eindruck. 
Der Bildschirm ist ins Hochformat 
drehbar (Pivot-Funktion). 

Fast übersehen könnte man im Nor- 
malbetrieb die sechs in den Bildschirm- 
rand integrierten Tasten. Erst das 
Antippen einer Taste aktiviert deren 
grüne LED-Beleuchtung und blendet 
im angrenzenden Bildschirmbereich 
die gerade aktivierten Funktionen, die 
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sich abhängig vom Kontext des jeweili- 
gen Menüs ändern kann. Bei der Arbeit 
mit dem Monitor erweist sich dieses 
Bedienkonzept als ausgesprochen kom- 
fortabel — man findet sich sofort in der 
logischen und übersichtlichen Menü- 
struktur zurecht. 

Mit Anschlüssen hat HP beim 
LP2480zx nicht gegeizt. Die zwei mitt- 
lerweile üblichen DVI-I-Ports, die eine 
Einspeisung sowohl digitaler als auch 
analoger RGB-Computersignale erlau- 
ben, hat der Hersteller ergänzt durch 
einen HDMI- und einen Displayport. 
Den Displayport findet man als Kon- 
kurrenzstandard zu HDMI bisher vor- 
wiegend bei Grafikkarten. Obwohl nicht 
kompatibel zu HDMI, gibt es bereits 
Grafikkarten mit Displayport, die er- 
kennen können, ob am Ausgang ein 
HDMI-Adapter steckt, und die Daten 
dann im korrekten Format senden. 

Da der LP2480zx beide Digitalstan- 
dards unterstützt, ist er für künftige 
Entwicklungen gerüstet. Über die bis- 
her erwähnten analogen und digitalen 
DVI-Schnittstellen hinaus bietet der HP 
LP2480zx Anschlüsse für Videosignale 
in den üblichen Formaten Composite 
Video, S-Video (Y/C) und YUV (Farb- 
differenzsignal, Komponentensignal, 
YPrPb). Daran dürften sich die meisten 
Videozuspieler anschließen lassen. Hin- 
zu kommt ein USB-Hub mit einem Up- 
stream- und vier Downstream-Anschlüs- 
sen, die seitlich rechts am Monitor gut 
zugänglich sind. 

Bei nur einer Signalquelle schaltet 
der Monitor automatisch auf den gerade 
benutzten Eingang. Sind Computer- und 
Videoquellen gemischt angeschlossen, 
bietet er außer der manuellen Auswahl 
die Möglichkeit, eine Videoquelle in 
einem Fenster definierbarer Größe und 
Platzierung in das Computerbild ein- 


Beim HP LP2480zx liegen 
die nativen Primärfarben 
Grün und Blau nah an 
denen des AdobeRGB- 
Farbraums (äußeres 
gestricheltes Dreieck), 
während das native Rot 
deutlich gesättigter ist 
(Abb. 1). 


zublenden (PiP), was sich etwa für 
Präsentationen oder Überwachungen 
eignet. Der eingebaute Videoprozessor 
kann auch Computerbild und Video 
gleichberechtigt nebeneinander und 
nach Wunsch skaliert darstellen. 

Für Videoschnitt- beziehungsweise 
-bearbeitungsplätze kann der LCD 
dank seiner (Digital-)Videofähigkeit in 
vielen Fällen einen separaten und teuren 
HD-Vorschaumonitor ersetzen, wobei 
der HP LP2480zx die nach den ent- 
sprechenden Videostandards erforder- 
lichen Farbräume (Rec.601 respektive 
Rec.709 für HDTV) mit seinem LED- 
Backlight emulieren kann, sogar den 
DCI-P3-Farbraum der Digital Cinema 
Initiative (DCI), der die Farbwieder- 
gabe von Kinofilmen nachbilden soll. 
Die für einen Computerbildschirm 
ausgesprochen reichhaltige Auswahl 
entspringt HPs Anliegen, mit dem 
LP2480zx einen Bildschirm speziell für 
die farbgetreue Erstellung und Bearbei- 
tung von Inhalten für die Medienbran- 
che zur Verfügung zu stellen. 


Helligkeit und 
Kontrast mal richtig 


Positiv hervorheben muss man, dass HP 
auch an die Bezeichnung der Einstell- 
organe mit professionellem Anspruch 
herangeht und auf die traditionellen, 
aber eigentlich falschen Bezeichnungen 
„Helligkeit“ und „Kontrast“ verzichtet. 
Nach traditioneller Lesart stellt der Hel- 
ligkeitsregler den Schwarzpegel und der 
Kontrastregler die Helligkeit ein. Klingt 
komisch, ist aber so. 

Korrekterweise besitzt ein LCD drei 
Einstellorgane für das, was das mensch- 
liche Auge als Kontrast und Helligkeit 
wahrnimmt: Schwarzpegel, Gamma und 
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LCDs 


Helligkeit der Hintergrundbeleuchtung. 
Genau diese Bezeichnungen verwendet 
der HP LP2480zx: Der Schwarzpegel 
stellt ein, wie hell (Leuchtdichte) das 
dunkelste Schwarz auf dem Monitor 
sein soll. Eine Veränderung des Gam- 
mawertes bewirkt eine Einstellung des- 
sen, was man üblicherweise als Kontrast 
empfindet. Die Helligkeit der Hinter- 
grundbeleuchtung gibt es nur bei LCDs. 
Ihre Einstellung hebt oder senkt die 
Leuchtdichte proportional in allen Bild- 
bereichen, ändert jedoch nicht den 
Kontrast. Da die Manipulation des 
Backlights insbesondere nicht die Mo- 


X-Wertung | 
HP Dreamcolor LP2480zx 


© großer Farbraum 


© Emulation von Standard- und 
User-Farbräumen 


@& hardwarekalibrierbar 


Samsung XL24 
© großer Farbraum 


© Emulation von Standard- und 
User-Farbräumen 


© hardwarekalibrierbar 

@ Ausleuchtung kalibrierbar 
Viewsonic VLED221wm 
® großer Farbraum 


©& günstiger Preis für einen Monitor 
mit LED-Backlight 


© Farbwiedergabe etwas blickwinkel- 
abhängig 
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Der Samsung XL24 zeigt 
selbst ohne vorherige 
Kalibrierung eine sehr gute 
Übereinstimmung der 
(emulierten) Primärfarben 
mit AdobeRGB und sRGB. 
Die nativen Primärfarben, 
vor allem Rot, sind deutlich 
stärker gesättigt (Abb. 2). 


nitorkalibrierung beeinflusst, ist sie bei 
kalibrierten Monitoren die einzig - 
wenn auch nur in Grenzen - erlaubte. 
Der HP LP2480zx zeigt die Einstellung 
der Backlight-Helligkeit direkt in der 
Einheit cd/m? an. Auch Anwender oh- 
ne entsprechende Messmöglichkeiten 
können so die empfohlenen Werte für 
den Betrieb in einer bestimmten Umge- 
bung direkt am Monitor einstellen. 


Mit und ohne Treppen 


Da HP den Monitor unter anderem für 
die Videobearbeitung anbietet, musste 
der LP2480zx mit seiner umfangreicher 
Ausstattung zusätzlich die ausführliche 
Prüfung der Qualität der Stand- und Be- 
wegtbildwiedergabe durchlaufen. Als 
erste Aufgabe musste er die umfang- 
reichen Testpattern der Displaymate 
Multimedia Edition wiedergeben, sich 
bei der Bewegtbildwiedergabe speziel- 
len Videosequenzen stellen, die bei SD- 
Zuspielung (Standard Definition) insbe- 
sondere die Qualität von Scaler und 
Deinterlacer testen. Fazit: Die Entwick- 
ler haben sich beim Video-Prozessing 
für die Bewegtbildwiedergabe nicht 
lumpen lassen - bei Vollbildwiedergabe 
ist die Qualität sehr gut und praktisch 
ohne Artefakte. Im PiP-Betrieb haben 
sie offenbar etwas weniger Aufwand bei 
der Interpolation entlang bewegter Kan- 
ten betrieben, hier können schon einmal 
Treppchen sichtbar werden. Bei den 
Displaymate-Testpattern gibt sich der 
HP LP2480zx ebenfalls keine Blöße - 
Auffälligkeiten sind keine zu entdecken. 

Durch die für die Hintergrundbe- 
leuchtung verwendeten RGB-Leucht- 


dioden kann der native Farbraum (Ga- 
mut) des HP LP2480zx sehr groß sein, 
was sich in den Farbmessungen auch 
bestätigt. Der Monitor emuliert daher 
Standardfarbräume, die innerhalb seines 
nativen Gamuts liegen, dadurch, dass er 
deren Primärfarben als Farbmischungen 
seiner eigenen, nativen Primärfarben 
darstellt. Auf dieser Basis gibt er alle 
anderen (Misch-)Farben so wieder wie 
ein Monitor mit dem gerade gewählten 
Standardfarbraum. Dadurch kann die 
Anwenderin Bild- und Videomaterial in 
jeweils demjenigen Farbraum bearbei- 
ten, in dem es später wiedergegeben 
werden soll. Im Farbdiagramm (Abbil- 
dung 1) sind der native Farbraum des 
HP LP2480zx sowie einige emulierte 
Stadardfarbräume dargestellt. 

Damit die Farbraumemulation und 
die sonstigen Wiedergabeeigenschaften 
stabil bleiben, bietet HP optional eine 
Software plus Sensor an, mit deren Hilfe 
sich der HP LP2480zx kalibrieren lässt. 
Die Korrekturen, die sich aus einer Ka- 
libriermessung ergeben, werden über 
USB im Monitor gespeichert. Das Gerät 
erinnert den Benutzer dann nach einer 
entsprechenden Zahl von Betriebsstun- 
den an eine fällige Kalibrierung. 

Die Ausleuchtung des LP2480zx ist 
mit einer Gleichförmigkeit nach VESA 
von gemessenen 91,2 % und einer 
Standardabweichung von nur 3,74 % 
sehr gut. Bei einer Leuchtdichte von 
130 cd/m? beträgt der gemessene 
Kontrast 929:1. 


7 Samsung XL24 


Bereits Wochen vorher traf der für den 
professionellen Einsatz konzipierte, 
hardwarekalibrierbare Monitor Samsung 
Syncmaster XL24 im iX-Labor ein. Das 
24 Zoll in der Diagonale messende Pa- 
nel kann bei einem Seitenverhältnis von 
16:10 1920 x 1200 Bildpunkte darstel- 
len. Die Treibersoftware sorgt für die 
Ausgabenanpassung im Hochformat. 
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Zwei DVI-Eingänge (DVI-I, DVI-D), 
ein USB-Eingang und ein integrierter 
USB-Hub mit vier Ausgängen — gut zu- 
gänglich an der linken Seite des Moni- 
tors angeordnet — verbinden ihn mit der 
Außenwelt. 

Ebenso wie der in der iX getestete 
Syncmaster XL20 [1] arbeitet der XL24 
mit LED-Hintergrundbeleuchtung. Sie 
erreicht durch ihr relativ schmalbandi- 
ges und gut definiertes Spektrum eine 
hohe Farbsättigung in den Grundfarben 
Rot, Grün und Blau. Dadurch ist auch 
der Farbraum des Monitors groß ge- 
nug (siehe Abbildung 2), sodass er 
insbesondere die im Offsetdruck dar- 
stellbaren Farben wiedergeben kann. 

Zum Lieferumfang zählen die Kali- 
briersoftware „Natural Color Expert“ 
und ein passender Farbsensor. Damit 
lässt sich der XL24 für die Emulation 
unterschiedlicher Farbräume einset- 
zen. Standardfarbräume wie sRGB und 
AdobeRGB sind bereits vorbelegt. Die 
kann die Anwenderin laden oder die 
Parameter des Wunschfarbraums von 
Hand eingeben, etwa den für die Farb- 
abmusterung in der Druckvorstufe 
empfohlenen ECIRGB-Farbraum. 

Im anschließenden Kalibriervorgang 
stellt die Software den Monitor so ein, 
dass sich das gewünschte Verhalten er- 
gibt. Die gespeicherten Farbprofile las- 
sen sich später über eine Taste an der 
Frontblende aufrufen. Dadurch kann 
man mit dem XL24 etwa das Erschei- 
nungsbild von Fotos und Videos jeweils 
in dem Zielfarbraum überprüfen, für den 
sie produziert werden. Je größer die 
Bildfläche, desto mehr rückt ein weite- 


res Feature der LED-Hintergrundbe- 
leuchtung in den Vordergrund: Im 
Interesse einer möglichst gleichmäßi- 
gen Bildschirmausleuchtung lässt sich 
die Helligkeit des Bildschirms in ver- 
schiedenen Zonen messen und nach- 
regeln, sodass sich eine gleichmäßige 
Ausleuchtung ergibt. 

Bereits ab Werk ist die Ausleuchtung 
des XL24 aber schon ausgeglichen, die 
Gleichförmigkeit der Ausleuchtung 
nach VESA beträgt gemessene 90,6 %, 
die Standardabweichung nur 3 %. Bei 
einem praxisnahen Leuchtdichtewert 
von 140 cd/m? beträgt der gemessene 
Kontrast 920:1. 


m Viewsonic 
© VLED221wm 


Viewsonic bringt mit dem VLED221wm 
einen Monitor mit LED-Backlight in der 
gehobenen Büromonitorklasse. Das be- 
deutet, dass diese Technik nun auch bei 


Standardmonitoren angekommen und 
nicht mehr allein den teureren Bildschir- 
men für den Einsatz in der Druckvorstu- 
fe und anderen farbkritischen Anwen- 
dungen vorbehalten ist. 

Der VLED221wm hat eine büromo- 
nitortypische Ausstattung. Sein schwar- 
zes Kunststoffgehäuse mit glänzender 
Oberfläche und abgerundeten Gehäuse- 
kanten macht bereits auf den ersten 
Blick deutlich, dass der Monitor für die 
Anwendung in gehobenen Büroumge- 
bungen gedacht ist. Der Standfuß er- 
laubt ein Kippen des Monitors um die 
horizontale Achse. In den unteren Teil 
des Bildschirmrahmens sind zwei Laut- 
sprecher eingebaut. 

Rechts und links neben dem mittig 
unter dem Bildschirm angeordneten 
Taster zum Einschalten des Monitors 
befinden sich je zwei weitere zur Na- 
vigation durch die On-Screen-Menüs. 
Leider sind sie nur zugänglich, wenn 
der Monitor auch ein Signal empfängt 
— das kann dazu führen, dass man et- 
waige Konflikte mit der Grafikkarte 
schlechter diagnostizieren kann, weil 
sich dann gegebenenfalls auch die 
Menüsteuerung am Monitor nicht auf- 
rufen lässt. 

Der VLED221wm hat eine Bilddia- 
gonale von 22" und eine native Auflö- 
sung von 1680 x 1050 — mithin also ein 
Seitenverhältnis von 16:10. Die HD- 
Auflösungsstufe 720p kann der Viewso- 
nic-Monitor also noch eins zu eins dar- 
stellen, bei voller HD-Auflösung muss 
er das Bild etwas herunterskalieren. 

Signale empfängt der VLED221wm 
analog über den üblichen 15-poligen 
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LCDs 


VESA-Steckverbinder (VGA-Buchse) 
oder digital über einen DVI-D-Ein- 
gang. Letzterer versteht auch das 
HDCP-Protokoll. Der Monitor unter- 
stützt aber — vermutlich weil die native 
Auflösung für Full-HD nicht ausreicht 
— nur das Format 720p. Ist nur ein Ein- 
gang belegt, findet der Monitor auto- 
matisch das Signal, bei zwei gleichzei- 
tig anliegenden Eingangssignalen kann 
man mit einem der Taster an der Vor- 
derseite umschalten. 


Dynamische Regelung 
des LED-Backlights 


Mit dem Testpattern der Displaymate 
Multimedia Edition zeigte der 
VLED221wm keine Schwachpunkte, 
die Farbwiedergabe ist allerdings etwas 
winkelabhängig: Bei seitlichem Ein- 
blick gibt es, speziell bei dunklen Farb- 
tönen, einen rötlichen Schimmer. 

Die Farbmessungen ergeben, dass der 
Farbraum des VLED221wm etwas grö- 
Ber ist als AdobeRGB, speziell Rot ist 
stärker gesättigt. Die Primärfarbe Grün 
geht gegenüber Adobe RGB etwas stär- 
ker ins Bläuliche, das ist möglicher- 
weise sogar Absicht, um Cyantöne, wie 
sie etwa im Himmelblau vorkommen, 
so wiedergeben zu können, wie sie 
auch in Offset-Druckwerken erschei- 
nen. Die Farbtemperatur ist vom Be- 
nutzer in mehreren Stufen einstellbar. 

Als Besonderheit — für einen Büro- 
monitor — verfügt der VLED221wm 
über eine dynamische Regelung des 
LED-Backlights. Bei vorwiegend dunk- 
len Bildpartien muss dadurch nicht al- 
lein das LCD-Panel die Abdunklung 
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Das native Rot ist beim 
Viewsonic VLED221wm 
deutlich stärker gesättigt 
als zum Beispiel für 
AdobeRGB erforderlich. 
Der Farbort des nativen 
Grün weicht von dem des 
AdobeRGB in Richtung 
Türkis ab (Abb. 3). 


besorgen, wodurch mehr ansteuerbare 
Helligkeitsstufen für die Detailzeichung 
in dunklen Bildpartien verbleiben. Bei 
schnell wechselnden Bildinhalten, etwa 
über DVI eingespeiste Videos, sieht 
man allerdings, dass die Regelung mit 
einer gewissen Trägheit arbeitet. 

Ein solches Feature kennt man ei- 
gentlich eher von Fernsehern und 
Heimkinoprojektoren. Bei geeignetem 
Quellmaterial führt es zu deutlich ver- 
besserten Schwarzwerten bei ansonsten 
kaum veränderter Bildqualität. Es gibt 
allerdings auch Filme, bei denen das 
Arbeiten der Regelung störend sichtbar 
wird, sodass man dann darauf lieber 
verzichtet. Beim VLED221wm ist es 
mit einem mindestens 2 s dauernden 
Druck auf eine der Tasten zu- und ab- 
schaltbar, sodass man es von Fall zu 
Fall einfach ausprobieren kann. 

Die Ausleuchtung des VLED221wm 
ist sehr gleichmäßig, die Gleichförmig- 
keit der Ausleuchtung nach VESA be- 
trägt gemessene 89,1 %, die Standardab- 
weichung 4,2 %. Bei einer Leuchtdichte 
von 250 cd/m? beträgt der gemessene 
Kontrast 962:1, bei eingeschalteter dy- 
namischer Backlight-Steuerung erhöht 
sich der gemessene Fullscreen-Kontrast 
auf 8387:1. 


Fazit 


Monitore mit LED-Backlight scheinen 
langsam erwachsen zu werden. Sie sind 
keine teuren Exoten mehr, die man zwar 
auf Messen bestaunt, aber in der Praxis 
nur antrifft, wenn der gebotene Mehr- 
wert einen hohen Preis rechtfertigt. Viel- 
mehr gibt es inzwischen ein relativ brei- 


tes Angebot, das vom gehobenen Büro- 
monitor bis zum Spezialmonitor für die 
Multimediabearbeitung reicht. Speziell 
in der letztgenannten Anwendung kann 
das LED-Backlight mit seinen stark ge- 
sättigten Primärfarben seine Trümpfe 
voll ausspielen und erlaubt zum Beispiel 
die Emulation verschiedener Standard- 
farbräume. Die Preise der getesteten 
Monitore entsprechen der gebotenen 
Leistung - ein „LED-Zuschlag“ ist nicht 
mehr zu erkennen. (sun) 


DIETER MICHEL 
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ist Chefredakteur der Fachzeitschrift 
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Daten und Preise 


HP Dreamcolor LP2480zx 


technische Daten: 24"-Monitor, Widescreen 
16:10; 1920 x 1200 Bildpunkte; 2 x DVI-I, 
HDMI (mit HDCP), Displayport, YUV (YPbPr), 
S-Video, Composite-Video; 4x USB 2.0 
Downstream, 1x USB 2.0 Upstream; Pivot- 
funktion 

Lieferumfang: Schnellstartanleitung, Netzkabel, 
CD (Treiber, Handbuch, Fernbediensoftware], 
DVI-Kabel, optional: HP Dreamcolor Advanced 
Profiling Solution (199 Euro netto] 


Preis: 2299 Euro UVP 


Samsung XL24 


technische Daten: 24"-Monitor, Widescreen 
16:10; 1920 x 1200 Bildpunkte; DVI-D, 
DVI-|, 4x USB 2.0 Downstream, 1 x USB 2.0 
Upstream; Pivotfunktion 

Lieferumfang: Schnellstartanleitung, Netzkabel, 
CD (Treiber, Handbuch], DVI-Kabel, abnehm- 
barer Sichtschutz aus Aluminium, Kalibrier- 
system (Sensor X-Rite Eye-One Display 2, Kali- 
briersoftware Samsung Natural Color Expert] 
Preis: 1680 Euro UVP 


Viewsonic VLED221wm 


technische Daten: 22"-Monitor, Widescreen 
16:10; 1680 x 1050 Bildpunkte; 15-Pin Mini 
D-sub, DVI-D (mit HDCP), Audio (3,5 mm 
Klinke, stereo] 

Lieferumfang: Netzkabel, 15-pin VGA Video- 
kabel, DVI-D-Kabel, Audio-Kabel, Schnellstart- 
Anleitung, Viewsonic Wizard CD-ROM [Hand- 
buch/Treiber, mehrsprachig) 


Preis: 394 Euro UVP 


A 
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Virtualisierung 


das neue Multisnapshot-Feature ge- 
paart mit Autoprotect. Dahinter ver- 
birgt sich der von den Anwendern lan- 


|©! Mac 05 X Server 10.5, 64-Bit-Version (experimentell) = 


en re A errnieisen 


| @&& Aktivitätsanzeige Ablage Bearbeiten Darstellung Fenster Hilfe - S17:15 Q 


Aktivitätsanzeige 


“> 


Bluetooth-Datenaustauich 


Prozessor 4x 2.99 CHz Sangle-Care Intel Xeon 


Speicher 8C8 


Weitere Informationen 


VMware Tools ist nicht installiert. Wählen Sie das Menü „Virtuelle Maschine” > „VMware Tools installieren”. 


VMware Fusion 2.0 für Intel-Macs 
Regelmäßige 
Schnappschüsse 


Jörg Riether 


Nach einem Jahr Entwicklungszeit stellt VMware die zweite 
Version seines Desktop-Virtualisierers Fusion für Mac OS X vor. 
Hinter seiner generalüberholten Oberfläche stecken etliche 


neue Funktionen. 


nfang August 2007 erblickte Fu- 
A sion 1.0 das Licht der Welt und 

beendete damit die lange Warte- 
zeit all derer, die VMware auf dem 
Mac betreiben wollten. Ein gutes Jahr 
später und wie üblich nach einer Beta- 
und Release-Candidate-Phase brachte 
VMware die finale Version von Fusion 
2.0 heraus. Fast erkennt man den Vor- 
gänger nicht mehr wieder, denn der 
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Hersteller hat nahezu alles visuell ge- 
neralüberholt. Es fängt bei den neuen 
Interfaces für die Konfiguration und die 
Bibliothek von Gastsystemen an, die 
mit Fusion 1.0 kaum noch etwas ge- 
meinsam haben (siehe Abbildung auf 
der folgenden Seite unten). 

Die Sicherheit dürfte bei der Ent- 
wicklung eine primäre Rolle gespielt 
haben, denn eine der Neuerungen ist 


ge geforderte Snapshot-Manager, der 
jetzt mehrere Snapshots von einer 
virtuellen Maschine erstellen und ver- 
walten kann. Außerdem integrierte 
VMware einen neuen Automatismus 
namens Autoprotect, mit dem der Be- 
nutzer Snapshots in einem selbst defi- 
nierten Intervall automatisch erstellen 
lässt. Ein Aufräumprozess rundet die- 
ses Feature ab: Er entfernt bei Errei- 
chen eines ebenso definierbaren Schwel- 
lenwerts veraltete Snapshots und gibt 
somit den verwendeten Speicherplatz 
wieder frei. VMware integriert auf 
diese Weise quasi eine eigene Time 
Machine in Fusion 2.0. Hinzu kommt 
ein komplettes Abo für McAfees Vi- 
rus Scan Plus für ein Jahr — damit lie- 
fert VMware eine leistungsfähige Anti- 
Virus- und Anti-Spyware-Lösung für 
Windows gleich mit. Der Clou dabei: 
Die Software ist fest in Fusion 2.0 in- 
tegriert, und man kann sie direkt aus 
dem Befehlsmenü heraus auf Knopf- 
druck installieren. 

Auch den Arbeitskomfort hat 
VMware verbessert. Ein neues Feature 
namens Driverless Printing stellt sicher, 
dass man zukünftig keine Druckertrei- 
ber mehr in den Gästen installieren 
muss, wenn der Host selbst einen in- 
stallierten Drucker besitzt. Fusion 2.0 
leitet die Instruktionen automatisch auf 
den Host-Drucker um. Endlich unter- 
stützt es echten Multi-Monitor-Be- 
trieb vollständig. Dies hat man sogar 
so weit getrieben, dass auch „Unity“ 
davon profitiert, eine bereits mit Fu- 
sion 1.0 eingeführte Darstellung, bei 
der aktive Gast-Programmfenster di- 
rekt unter Mac OS X erscheinen, als 
seien sie echte Mac-Applikationen. 
Im Test ließ sich ein Unity-Fenster oh- 
ne besondere Konfiguration über meh- 
rere Monitore hinweg verschieben. Et- 
waige Einrichtungen oder spezielle 
Konfigurationen sind für den Mehr- 
schirmbetrieb nicht notwendig. Die 
angeschlossenen Monitore am Host er- 
kannte Fusion völlig unspektakulär 
und zeigte sie in der virtuellen Ma- 
schine als solche an. 


Applikationen 
kreuzweise öffnen 


„Application Sharing“ vermag Doku- 
mente direkt aus dem Mac-Finder in 
einer virtuellen Windows-Maschine zu 
öffnen und umgekehrt. Das funktio- 
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niert jedoch nur mit Windows als 
Gastsystem. Außerdem lassen sich be- 
stimmte Schlüsselverzeichnisse unter 
Windows XP und Vista (Desktop, Do- 
kumente, Bilder, Musik) direkt auf ih- 
re Mac-Pendants mappen. Schließlich 
kann man URLs umleiten: zum Bei- 
spiel in einer virtuellen Maschine ei- 
nen Link anklicken, den Safari auf 
dem Host öffnet. Umgekehrt funktio- 
niert dies ebenso. Fusion kommt hier- 
bei mit den URL-Typen http, https, 
telnet, ssh, mailto, ftp, sftp, feed und 
news zurecht. 


Andere Maschinen 
intakt importieren 


Auch im Bereich Grafikbeschleuni- 
gung hat VMware spürbar nachgelegt. 
Fusion ist mit DirectX 9.0c und Sha- 
der-Model2-Software kompatibel. Das 
Importieren einer fremden virtuellen 
Maschine gelingt direkt aus der 
Hauptapplikation heraus; im Menü- 
punkt „Ablage“ findet sich die neue 
Option „Importieren“. Auf diese 
Weise lassen sich virtuelle Maschinen 
der Konkurrenten Parallels Desktop 
und Virtual PC (Microsoft) importie- 
ren. Der Prozess ist nicht-destruktiv, 
das heißt es entsteht eine komplett 
neue Fusion VM, die alten Dateien 
bleiben unangetastet und sind weiter- 
hin mit dem Konkurrenzprodukt nutz- 
bar. Unity funktioniert jetzt auch mit 
Linux-Gästen. Das Feature hatte zwar 
zum Release-Zeitpunkt noch den Sta- 
tus „experimentell“, ließ sich aber im 


Test mit einem Ubuntu-,Hardy He- 
ron“ auf Anhieb nutzen. 

Eine echte Überraschung ist die 
Unterstützung von bis zu vier virtuel- 
len CPUs pro Gastsystem. Damit eröff- 
nen sich für den Otto-Normalbenutzer 
zwar wenige spannende Dinge, für den 
IT-Profi jedoch, der unter Umständen 
spezielle leistungsstarke virtuelle Ma- 
schinen simulieren möchte, ergeben 
sich dadurch interessante Möglichkei- 
ten. Beim Thema CPU fällt übrigens 
eines sofort ins Auge: Wenn man hin- 
und wieder einen Blick auf die Mac- 
Aktivitätsanzeige wagt, bleibt es dort 
erstaunlich ruhig. Ein virtualisiertes 
Windows XP SP3 mit laufenden Of- 
fice-Anwendungen verpulverte wäh- 
rend des Tests auf einem Macbook Pro 
mit Santa-Rosa-Chipsatz im Schnitt nur 
5 % CPU-Leistung. 


Mehr Automatismen 
per Kommandozeile 


Auf der Kommandozeile hat sich end- 
lich etwas getan. VMware bringt mit 
Fusion 2.0 die von der Workstation 
bekannten VMrun-Skripte auf den 
Mac. Damit lassen sich virtuelle Ma- 
schinen zum Beispiel starten, her- 
unterfahren, anhalten oder Snapshots 
erstellen — insbesondere für selbst 
kreierte Automatismen eine segensrei- 
che Einrichtung. VMrun ist jedoch 
nach der Fusion-Installation merk- 
würdigerweise nicht sofort aus einem 
beliebigen Terminal Fenster heraus 
benutzbar. Zunächst muss das Fusion- 


Bibliothek virtueller Maschinen 


ri 


Alleanzeigen  +r 


xpspeed 
Windows XP Professional 


Status @ Wird ausgeführt 
| Hinweise 


8) xpspeed: Einsteliungen 


Systemeinstellungen 


Austauschbare Geräte 


Andere Geräte 


5) Freigabe Netzwerk 
Deaktiviert NAT 
Prozessoren & RAM n' Festplatten 
1 CPU, 512 MB ni IDE-Festplatte, 20 CB 
Baustl Grafik ( CDs und DVDs 
= Nicht 3D-fähig _/ Keine automatische £ 
Akku Audio 
Status deaktiviert Verbunden 
11, Drucker USB-Geräte 
“Y Deaktiviert 2 Geräte 
ee 


® AutoProtect 
Aktiviert 


Einstellungen 


Nicht vorhanden 


In Fusion 2.0 sind das Konfigurations-Interface und die Bibliothek komplett 


überarbeitet. 
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Aktueller Status 


21. September 2008 19:16 


Virtualisierung 


© xpspeed: Snapshots 


Ei= .#- 
Darstellung Aktion 


N 


Lang erwartet, jetzt 
am. integriert: der neue 
Ein Snapshot Manager 
in Aktion. 


AutoProtect-Einstellungen 


iX Snap 4 
21. September 2008 20:37 


iX Snap 4 
21. September 2008 20:37 


Wird ausgeführt 


iX Snap 3 iX Snap 2 


21. September 2008 19:16 


iX Snap 1 rd 


21. September 2008 19:14 


M Nur meine Snapshots anzeigen 


( Snapshot wiederherstellen 


Dateigröße: 511 MB - 781,4 MB 


( Snapshot löschen ) 


Verzeichnis von Hand zum System- 
pfad hinzugefügt werden. Dies erle- 
digt folgende Kommandozeile: 


export \ 
PATH=\ 
"$PATH:/library/Application Support/7 


VMware Fusion". 


Danach kann man in diesem Terminal- 
fenster vmrun starten, das ohne Argu- 
mente eine Liste aller Optionen zurück- 
liefert. Für dauerhafte Änderungen 
sollte der Fusion-Pfad bei Leopard in 
/etc/paths oder /etc/paths.d stehen (sie- 
he man path_helper). Bei älteren OS- 
X-Versionen übernimmt /etc/profile 
eine ähnliche Funktion. 

Zahlreiche Fusion-Benutzer kriti- 
sierten seit Langem das Fehlen des 


©® multiple Snapshots und Autoprotect 


@ Anti-Virus-Integration 
© Virtualisierung von Leopard Server 


© Kommandozeilen-Tools an Bord 


Webseite: 


www.vmware.com/de/products/fusion 


Preis: 79,99 €, Upgrade von Version 1.x 
kostenfrei 

Systemvoraussetzungen: Intel-Mac mit 
mindestens 1,5 GHz, 1 GByte RAM (2 GByte 
empfohlen), Mac OS X 10.4.11 oder höher, 
400 MByte Plattenplatz für Fusion, mindestens 
5 GByte für jede virtuelle Maschine 


72 


vmdkmounter auf dem Mac, mit dem 
man virtuelle Festplatten offline in 
das Host-System einhängt. Fusion 2.0 
bringt es endlich mit. Auch andere alte 
Bekannte vom PC wie den vdiskmana- 
ger findet man. Der interessierte Kom- 
mandozeilen-Nutzer sollte unbedingt 
einen tieferen Blick in das Verzeichnis 
/Library/Application Support/VMware 
Fusion riskieren. 


Virtueller Mac nur 
als Server 


Eine weitere Neuerung von Fusion 2.0 
stellt die Möglichkeit der Virtualisie- 
rung von Leopard Server dar. Dieses 
Feature gilt zurzeit noch als experimen- 
tell, dennoch gelang die Installation im 
Test schnell und ohne Schwierigkeiten. 
Es waren keinerlei Unterschiede zum 
physisch installierten Leopard Server 
feststellbar. Selbst in der Maximalaus- 
stattung mit vier virtuellen CPUs und 
8 GByte Hauptspeicher hatte der vir- 
tuelle Server nichts auszusetzen. Bis- 
lang gestattet Apple nur die Virtuali- 
sierung des Leopard-Server, nicht der 
Desktop-Variante. 

Trotz zahlreicher Annäherungen 
auf beiden Seiten - Workstation 
(VMwares Desktop-Virtualisierer für 
PC und Linux) und Fusion bleiben 
weiterhin zwei unterschiedliche Pro- 
dukte. Bestimmte Fähigkeiten der ak- 
tuellen Workstation sind noch nicht in 
Fusion integriert, beispielsweise En- 
hanced Execution Record/Replay, Vir- 
tual Machine Teams und die Möglich- 
keit der Videoaufzeichnung. Auf der 
anderen Seite beherrscht Fusion eini- 
ges, was der Workstation bislang fehlt: 


Virtualisierung von Leopard Server, 
Autoprotect sowie die Integration ei- 
ner Anti-Viren- und Anti-Spyware- 
Lösung. Ob Fusion und Workstation 
irgendwann in der Zukunft zu einem 
Produkt verschmelzen, bleibt deshalb 
noch reine Spekulation. 


Fazit 


Fusion 2.0 bringt viele Detailverbes- 
serungen sowie einige echte Neuerun- 
gen mit. Insbesondere das Autopro- 
tect-Feature ist eine sinnvolle Idee, die 
VMware obendrein benutzerfreund- 
lich umgesetzt hat. Dass der Herstel- 
ler von Käufern der Vorgängerversion 
nach über einem Jahr Entwicklungs- 
zeit und deutlichem Zuwachs an Fä- 
higkeiten keinen Cent für die neue 
Version verlangt, ist ein feiner Zug — 
daran könnten sich andere Software- 
hersteller gern ein Beispiel nehmen. 
Durch die Integration zahlreicher von 
der Workstation bekannter Kommando- 
zeilenwerkzeuge dürfte Fusion auch 
für Tüftler mehr Reize entwickeln. 
Insgesamt hinterlässt die Version 2.0 
einen stabilen und ausgewachsenen 
Eindruck. (ck) 
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Citrix Xenserver 5 


| Undock at+shitau) | Fulsersen (cutaAker) | 


Virtuelle Fenster 


Fred Hantelmann 


Knapp ein Jahr nach der Übernahme von Xensource 
verkündete Citrix die Fertigstellung seines Xenserver 5.0.0. 
Etwa 130 Neuerungen rechtfertigen laut Hersteller den 


Versionssprung. 


itrix Xenserver 5 basiert auf Ver- 
C sion 3.2.1 des Open-Source- 

Hypervisors Xen, bereichert um 
einige Rückwärtsportierungen aus dem 
aktuellen Xen 3.3. Die Verwaltungsin- 
stanz (DomO) entstammt der CentOS- 
Release 5.2. Als Steuerkonsole dient 
das proprietäre Werkzeug xe, das mit 
dem Hypervisor via XenAPI kommu- 
niziert. Für die hostübergreifende Steu- 
erung ganzer Farmen oder Cluster mit 
Xenserver liefert Citrix den Windows- 
Client Xencenter mit. Erweiterte Unter- 
stützung aktueller Storage-Produkte 
und erstmalig verfügbare HA-Funktio- 
nen sollen die bisher vom Marktführer 
VMware beanspruchten Alleinstel- 
lungsmerkmale egalisieren. 

Sein herausragendes Merkmal be- 
steht laut Citrix darin, dass das Produkt 
als erste Server-Virtualisierungslösung 
am Markt einen für Microsoft zertifi- 
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zierten Hypervisor enthält: Konformität 
zu deren Server Virtualization Valida- 
tion Program (SVVP) verleiht dem 
Kunden das Recht, Microsofts vollstän- 
digen Support im Einsatz von Win- 
dows Server 2008, 2003 SP2 und 2000 
SPA auf der virtualisierten Hardware in 
Anspruch zu nehmen. 

Die Steuerungsinstanz DomO hat 
Citrix um das Kommandozeilen-Ver- 
waltungstool xsconsole ergänzt (siehe 
Abbildung). Damit kann der Adminis- 
trator hostspezifische Einstellungen 
auch ohne Xencenter vornehmen. Per- 
formancedaten, also Auslastungsmetri- 
ken zu CPU, Speicher, Netz- und Plat- 
ten-V/O, verwaltet Xenserver nun lokal 
in sogenannten Round-Robin-Datensät- 
zen (RRDS), sodass die Ressourcennut- 
zung einzelner VMs und Hosts über ei- 
nen längeren Zeitraum sichtbar ist. Statt 
der bisher auf die letzten 15 Minuten 


beschränkten Übersicht kann der Ad- 
ministrator Daten aus einem variablen 
Zeitintervall abfragen, das zwischen 10 
Minuten und einem Jahr lang sein darf. 


Viele Wege 


führen zum Speicher 


Wer FC- oder iSCSI-basierte Speicher- 
netze einsetzt, profitiert in Xenserver 5 
vom standardmäßig unterstütztem Mul- 
tipathing. Laut Handbuch unterstützt es 
ein Load Balancing zwischen den vor- 
handenen HBAs eines Host. Eine Nach- 
frage beim Hersteller ergab, dass die 
neuen Treiber für HBAs von Emulex 
und Qlogic auch Failover beherrschen. 

Neben Netapp-Filern, die unter On- 
tap 7G laufen, kommt Version 5 auch 
mit Dells Equalogic-Filern zurecht. Sie 
stellen jeder VM den Speicher als eige- 
ne LUN bereit. Plattenpartitionen des 
Gasts bildet der Treiber dabei auf 
„Sparse Files“ ab, deren Größe mit 
dem tatsächlichen Platzbedarf wächst. 
Außerdem beherrscht der Filer von 
Haus aus Snapshots, mit deren Hilfe 
sich virtuelle Maschinen schnell klonen 
lassen. Dazu muss der Treiber auf pro- 
prietäre Schnittstellen des Speichersys- 
tems zurückgreifen. 

Physische Netzschnittstellen lassen 
sich bündeln (NIC-Bonding), sodass in 
diesem Bereich redundante Hardware 
für den ausfallsicheren (active/passive) 
Betrieb konfigurierbar ist. Ergänzend 
kann man ein Source Level Balancing 
(SLB) NIC-Bonding einstellen, das in 
der active/active-Betriebsart den Netz- 
verkehr der VMs auf die Schnittstellen 
verteilt. Konzeptionell unterscheidet 
Xenserver nun zwischen internen, ex- 
ternen und gebündelten („bonded‘“) 
Netzen. Eine Trennung der virtuellen 
Hardware in NICs und Switches nimmt 
die Software nicht vor. 

Hochverfügbarkeit (HA) unterstützt 
Xenserver insoweit, als Gäste in einem 
Host-Pool „geschützten“ Betrieb erlau- 
ben. Voraussetzung dafür ist ein FC- 
oder iSCSI-Speichernetz, das die vir- 
tuellen Platten eines zu schützenden 
Gasts verwahrt. Ein Heartbeat prüft 
zyklisch, ob ein geschützer Gast auf 
seinem angestammten Host arbeitet. 
Fällt der aus, startet die HA-Schicht 
den Gast auf einem anderen neu. 

Das Aufrüsten vorhandener Xenserver- 
4.1-Instanzen gelang per Update-Funk- 
tion sowohl auf Stand-alone-Servern als 
auch auf im Pool zusammengefassten 
Hosts ohne Nebenwirkungen. Auf Letz- 
teren lässt sich das Update zunächst 
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X-Wertung 


& SVVP-konform 


& unterstützt redundante I/O- 
Komponenten 


© Enterprise-Version unterstützt 
Hochverfügbarkeit 


© keine virtuelle SCSI-Hardware für VMs 


ohne Unterbrechung der Gäste durch- 
führen. Anschließend muss der Admi- 
nistrator aber noch die Xentools der 
einzelnen Gäste auf den neuen Stand 
bringen, was einen Neustart der Win- 
dows-Gäste erfordert. 

Probehalber kamen im Test Solaris 
10 und Windows NT 4 zum Zuge. 
Während Solaris erwartungsgemäß auf 
Anhieb funktionierte — auf Microsofts 
Hyper V gab es kürzlich im Test Un- 
verträglichkeiten mit deren Netzwerk- 
treiber [1] —, war die erfolgreiche Instal- 
lation von NT 4 Workstation und 
Terminal Server Edition (ohne Service 
Pack) eine Überraschung - auch für Ci- 
trix. Ein Treiber für die emulierte Real- 
tek-Netzwerkkarte 8139 verhalf den 
Gästen sogar zu Netbios- und TCP/IP- 
Kommunikation — leider nur auf einem 
Einprozessor-Board mit Core-2-Prozes- 
sor, jedoch nicht auf einer IBM HS21 
Blade mit zwei Xeon-CPUs. 


Fazit 


Xenserver 5 enthält fast alle Funktio- 
nen, die beim Test seines Vorgängers 


© rool@xenserver-bladet 


Steuerpult: 

Mit xsconsole kann 
der Administrator 
hostspezifische 
Einstellungen 
vornehmen. 


[2] noch auf der Wunschliste standen: 
Treiber für FC- und iSCSI-HBAs be- 
herrschen Multipathing, Performance- 
daten verwahrt das System über einen 
Zeitraum von bis zu zwei Jahren, und 
HA-Support zählt in der Enterprise- 
Version zum Lieferumfang. Auch 
Netzwerkkarten kann der Anwender im 
Verbund betreiben; wahlweise für ba- 
lancierten Netzverkehr oder mit dem 
Ziel der erhöhten Ausfallsicherheit der 
beteiligten Hardwarekomponenten. In- 
terne Erweiterungen unterstützen au- 
Berdem die Replikation von Storage-Re- 
positories, sodass Aufbau und Betrieb 
von Disaster-Recovery-Sites mit gerin- 
gem Aufwand gelingen. 

Professionellen Anwendern dürfte die 
besiegelte SVVP-Konformität endgültig 
die Scheu vor dem Einsatz des Produkts 
nehmen, da virtuelle Xenserver-Hard- 
ware nun eine zertifizierte Plattform für 
die drei jüngsten Server-Betriebssysteme 
aus Redmond bildet. Bereits verfügbare 
Zusatzprodukte von Citrix, namentlich 
Xendesktop für den zentralen Betrieb 
virtueller Desktops und der Provisio- 
ning Server als Managementsystem für 
schnellen Server-Rollout, heben das 


Einsatzpotenzial für Xenserver 5 auf 
ein zeitgemäßes Niveau. 

Xenserver 5 ist wie seine Vorgänger 
als kostenlose Express-Version erhält- 
lich. Die Standard-Edition ist für 990 
US-Dollar zu haben, Enterprise- und 
Platinum-Version kosten 3300 bezie- 
hungsweise 5500 Dollar. Wer die En- 
terprise-Edition kostenlos testen möch- 
te, findet auf Citrix’ Website (siehe 
iX-Link) eine 30 Tage lauffähige Test- 
version. (mr) 
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Application Server 


Noch Bea-lastig: Oracle Weblogic 


Server 1OgR3 


Neuer Anzug 


Markus Eisele 


Knapp ein halbes Jahr nach der Übernahme von Bea 
präsentiert Oracle den ersten Weblogic Server mit ange- 
passtem Logo. Er soll künftig als neues Flaggschiff die Fusion- 
Middleware-Produktflotte anführen und den bisherigen 
hauseigenen Applikationsserver versenken. 


sich Interessierte mit der Techno- 
logy Preview des Weblogic Server 
beschäftigen. Erst Mitte 2008 tat sich 
Neues: Oracle verschob die Entwick- 
lerwebseiten der aufgekauften Bea 
(dev2dev, arch2arch et cetera) in das 


5 chon Ende letzten Jahres konnten 
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eigene Technology Network (OTN) 
und stellte unmissverständlich klar, 
dass die Produkte der Weblogic-Ser- 
ver-Reihe in der Fusion Middleware 
aufgehen sollen und somit die künfti- 
ge Basis aller hauseigenen JEE-Pro- 
dukte bilden. 


Die nun mit dem Namen Weblogic 
Application Server 10gR3 versehene 
Minor-Release verspricht keine bahn- 
brechenden Neuerungen (wofür das „g‘“ 
in diesem Zusammenhang steht, bleibt 
weitgehend unklar). Vielmehr wollte 
man den seit der 9er-Version ziemlich 
aufgeblasenen Server (bis zu 950 MByte 
als Gesamtpaket) wieder auf das Volu- 
men seiner Vorgänger schrumpfen. Mit 
750 MByte gibt sich die aktuelle Distri- 
bution auch deutlich schlanker. Wer das 
immer noch als zu mächtig empfindet, 
sollte direkt mit dem Net-Installer arbei- 
ten, der die gewünschten Teile selektiv 
lädt und einrichtet. 

Neben dem obligatorischen Kern 
kann der Entwickler neun weitere 
Komponenten installieren (er muss 
aber nicht). Zur Auswahl stehen die 
browserbasierte Administrationskonso- 
le, verschiedene Client-Pakete, Plug- 
ins, Beispielanwendungen, JDBC-Trei- 
ber sowie die Entwicklungsumgebung 
Workshop. Ob er eine vorhandene Java 
Virtual Maschine (JVM) verwenden 
will, steht ebenfalls im Ermessen des 
Anwenders. Ansonsten liefert Weblogic 
wahlweise die hauseigene JVM JRockit 
oder die Standard-JVM von Sun mit. 
Durch diese Maßnahmen gewinnt der 
Server vor allem an Geschwindigkeit. 
Das Starten und Stoppen der Instanzen 
geht schneller von der Hand als beim 
Vorgänger und der Speicherverbrauch 
ist deutlich gesunken. 

Von Haus aus benutzt Weblogic das 
Java Development Kit 1.6. Er gibt sich 
zwar auch mit 1.5 zufrieden, das ak- 
tuelle JDK bringt jedoch einen Zu- 
wachs an Performance von 10 bis 15 
Prozent. Nebenbei bietet es weitere 
Vorteile, etwa ein besseres Thread- 
Handling. Das Produkt enthält nun die 
Java Scripting API (JSR-223), die dem 
Webcontainer die Kooperation mit 
PHP, Groovy und Ruby ermöglicht. 


An den Programmierer 
gedacht 


Vor allem für die Anwendungsentwick- 
ler bietet der neue Application Server 
mehr als die Version 9. Mit Letzterer 
musste man nach kleinen Modifikatio- 
nen stets ein komplettes Deployment in- 
klusive Server-Neustart durchführen. 
Die Funktion FastSwap erlaubt nun, 
einzelne Klassen zur Laufzeit auszutau- 
schen, die Änderungen sind nach dem 
Neuladen der entsprechenden Seite so- 
fort sichtbar. Der bisher eingesetzte 
ChangeAwareClassLoader baute den 
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Classloader jedes Mal neu auf und ver- 
lor dabei seinen Serverkontext. Fast- 
Swap funktioniert nur im Development- 
Modus, im Produktionsmodus ist es 
nicht erreichbar. Der Austausch der 
Klassen lässt sich nur bei entpackten 
Programmen (exploded Mode) anwen- 
den. Eingeschaltet wird die Funktion im 
zugehörigen Deployment Deskriptor 
(weblogic-application.xml), hier setzt 
man <fast-swap>true</fast-swap>. 

Bea bot zwei Weblogic-Distributio- 
nen an: WLS enthielt den kompletten 
JEE-Server mit allen Containern und 
Funktionen, die abgespeckte WLX be- 
gnügte sich mit dem Webcontainer 
und verzichtete auf EJB, JMS et ce- 
tera. Technisch waren die beiden Vari- 
anten identisch, es gab lediglich unter- 
schiedliche Lizenzschlüssel. 10gR3 
lässt sich hingegen in zwei verschie- 
denen Konfigurationen starten, über 
die Option -DserverType= kann man 
entweder w/x oder wis wählen. Jeder 
Servertyp startet nur die Dienste, die 
er tatsächlich benötigt. 

Neben der Administrationskonsole 
liefen bisher im Server der UDDI Ex- 
plorer, Webservice- und Async Dispat- 
cher Servlets sowie der WLS-Testclient. 
10gR3 richtet diese Anwendungen nur 
noch bei Bedarf (im Entwicklungsmo- 
dus) ein. Beim erstmaligen Zugriff auf 
beispielsweise das Verwaltungswerk- 
zeug erscheint eine Meldung, dass der 
Server es gerade „deployed“. Der Pro- 
duktionsmodus installiert und startet die 
genannten Programme bereits beim An- 
laufen des Servers. 

Nachdem Bea die Verwaltungskon- 
sole in der Version 10.0 auf das Por- 
tal-Framework umgestellt hatte, er- 
schlug sie den Administrator förmlich 
mit ihrer unvorstellbaren Menge an 
Funktionen. Oracles Ausführung rückt 
hier einiges zurecht. Das Werkzeug 
baut sich schnell auf und die Bedie- 
nung ist wieder durchschaubar. Es gibt 
kleine Hilfsprogramme wie „Fenster 
minimieren/maximieren“ und der Ein- 
satz des nervigen Change Centers ist 
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Hinter der Oracle-Fassade verbirgt sich noch das altbekannte Original des 


Weblogic Server. 


nun optional. Wer darüber Änderun- 
gen vornehmen wollte, musste bislang 
die Systemkonfiguration für andere 
Nutzer explizit sperren. Diese Funk- 
tion hat Oracle jetzt standardmäßig 
ausgeschaltet, sie lässt sich bei Bedarf 
jedoch aktivieren. Veränderte Syste- 
meinstellungen sind somit sofort ak- 
tiv. Bei den neu eingeführten Erweite- 
rungen (console extensions, über 
Preferences ein- und auszuschalten) 
sticht vor allem die Konfiguration des 
Java-Famework Spring hervor. 


Schneller mit 
schnittigem Ouffit 


Gefühlt ist die nun im Oracle-Design 
gehaltene Konsole, auf der sich kein 
Hinweis mehr auf den Originalherstel- 
ler finden lässt, bis zum Faktor drei 
schneller geworden (siehe Abbildung 
oben). Hauptsächlich dafür verant- 
wortlich zeichnen die verbesserten 


X-TRACT 


© Weblogic Server 10gR3 ist der erste Application Server, der nach Beas Übernahme 
durch Oracle unter der Regie des neuen Eigners erscheint. 


© Einige der Macken des 10er-Ausführung des Bea-Servers hat Oracle beseitigt, 
beispielsweise ist die neue Release kleiner und schneller. 


© Von einer Zusammenführung mit Oracle-Technik kann noch keine Rede sein, unter 
der neuen Oberfläche steckt noch weitgehend das bekannte Bea-Produkt. 
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Portalfunktionen (etwa Multi-threaded 
Backing Files). 

Bei den Erweiterungen der Java EE 
stehen die neuen Versionen rund um 
Java Webservices (JAX-WS) 2.1 im 
Vordergrund. Vor allem die Unterstüt- 
zung für SAML2 (Security Assertion 
Markup Language) fällt ins Gewicht. 
Der Server kann mit sämtlichen Web- 
services-Standards von OASIS wie 
WS-Security, WS-Policy, WS-Reliable 
Messaging und WS-Addressing umge- 
hen. Für deren Verwaltung spendierte 
man der Administrationskonsole eine 
neue Seite. Gemeinsam mit Microsoft 
erleichterte der neue Eigner die Zu- 
sammenarbeit zwischen Weblogic-Web- 
services und denen von der Microsoft 
Windows Communication Foundation 
(WCE) 3.0 erstellten. 

Die JEES-Spezifikation führte De- 
pendency Injection (DI) für Web- und 
EJB-Container ein. Weiterhin findet 
man jetzt Interceptors (ein Konzept 
der aspektorientierten Programmierung, 
AOP) im EJB-Container. Der Entwick- 
ler denkt dabei natürlich an Spring. Um 
DI und Interceptors zu vereinen, starte- 
ten Bea und Springsource bereits An- 
fang 2007 das Projekt Pitchfork, das in 
Oracles Weblogic Server die Koordina- 
tion übernehmen kann, wenn es der 
Admin explizit einstellt. In der Stan- 
dardinstallation benutzt Weblogic die 
von der JEE-Spezifikation vorgegebe- 
nen DI- und Interceptor-Optionen. 

Am Web 2.0 kommt auch Weblogic 
nicht vorbei. Er bietet einen HTTP- 
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Application Server 


Publish-Subscribe-Server zum Verar- 
beiten von Ajax-Anfragen, und Oracle 
stärkte die Webentwicklung: Einzelne 
Sessions lassen sich debuggen und ein 
entsprechendes Flag im Deployment 
Descriptor stellt das Logging von er- 
weiterten Session-Informationen sicher. 
Der Webcontainer wurde ebenfalls mo- 
dernisiert, im Cluster lassen sich Ses- 
sions nun asynchron zwischen Primary 
und Secondary Server replizieren. 

Auch bei der Sicherheit hat sich et- 
was getan. Der bislang obligatorische, 
eingebaute LDAP-Server lässt sich nun 
vollständig durch ein Datenbanksystem 
ersetzen, was das Verankern des Servers 
in Identity-Management-Infrastrukturen 
deutlich vereinfacht. Als bemerkens- 
werte Neuerung fällt die C#JMS- 
Client-Bibliothek für .Net auf. Die API 
ermöglicht es .Net-Anwendungen, ohne 
speziellen Java-Client auf direktem 
Wege mit Weblogics JMS-Subsystem 
zu kommunizieren. 

Nach der Würdigung des Servers 
fehlt noch der kritische Blick auf die 
Entwicklungsumgebung Workshop, die 
man bisher separat erwerben musste. 
Nun darf man sie kostenlos mit ande- 
ren Plattformen einsetzen. Neben Web- 
logic kooperiert der Workshop mit 
IBMs Websphere, Apaches Tomcat, 
JBoss, Jetty und Resin. Er basiert jetzt 
auf Eclipse 3.3 sowie der Web Tools 
Platform 2.0 (WTP), läuft auch unter 
Windows Vista und kennt alle aktuel- 
len JEES-Standards, darunter Servlet 
2.5, JSP 2.1,JSF 1.2, ISTL 1.2. Zudem 
beherrscht er Design, Build und De- 


© unterstützt maßgebliche JEE-Standards 


® schneller und kleiner als Vorgänger 


© verbesserte Administrationskomponente 


© nicht mit Oracle-Technik integriert 


Oracle Weblogic 10gR3 - 
Enterprise Edition 


Systemanforderungen: 1 GHz CPU, 1 GByte 
RAM, 3,5 GByte Plattenplatz 


Betriebssysteme: Unix, Windows, Linux 


Datenbanken: DB2, Informix, Oracle, 
SQL Server, Sybase, Pointbase, MySQL 


Preise: auf Anfrage 
Anbieter: Oracle, www.oracle.com 
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ployment mit separaten Views für alle 
Weblogic-Belange und enthält Werk- 
zeuge für die genannten Webservices- 
Standards. Bei Java Server Faces hat 
der Entwickler die Wahl zwischen 
Suns Referenzimplementierung oder 
Apaches Myfaces. Leider kann der 
neue Workshop mit der in Version 10 
erstmals gewährten Unterstützung für 
Adobes Flex nichts mehr anfangen. 

Bleibt die Frage, wie viel Eigenan- 
teil Oracle bereits in den Weblogic 
10gR3 hineingesteckt hat. Nicht viel, 
denn durch die Oracle-Oberfläche 
schimmert der altbekannte Bea Weblo- 
gic deutlich durch, zu erkennen an den 
Klassen- oder Dateinamen. Selbst die 
Dokumentation liegt noch unter der 
Domain edocs.bea.com. Vor allem: 
Von einer Integration des 10gR3 in die 
Fusion Middleware ist noch nichts zu 
sehen. Laut Plan soll der neue den al- 
ten Applikationsserver erst in der Ver- 
sion 11 ablösen. Kein Wunder also, 
dass man zurzeit noch vergeblich nach 
Anbindungsmöglichkeiten für Forms, 
PLSQL, Reports, Application Devel- 
oper Framework (ADF) oder Ähnli- 
chem sucht. Für Forms wäre es ver- 
gleichsweise einfach, da die Umgebung 
sich kaum im JEE-Umfeld bedient. Die 
Hauptarbeit erledigt der Benutzer hier 
in der Sprache C. Lediglich ein Forms 
Listener Servlet vermittelt zwischen 
Forms Client und Server. Auch hier 
muss man auf 11 warten. 

ADF besteht aus zwei Teilen. Zum 
einen unterstützt der JDeveloper das 
Entwickler-Framework, zum anderen 
gibt es die ADF Faces, als JSF-basierte 
Komponentenbibliothek für Webclients. 
Letztere übergab Oracle bereits im Ja- 
nuar 2006 an die Apache Foundation, 
sie sind nun Teil des Myfaces-Projekts. 
ADF Faces sollten sich somit ohne Ein- 
schränkung auf dem Weblogic Server 
einrichten lassen. Erst Workshop 11 
wird die vollständige ADF-Integration 
bewerkstelligen. 


Fazit 


Oracles Weblogic Server 10gR3 ent- 
spricht noch im Wesentlichen Beas 
Original. Einigen der Kritikpunkte hat 
sich der neue Eigner jedoch gewidmet. 
Dank dafür gebührt wohl noch Beas 
Entwicklungsmannschaft. Der Server 
startet schnell, und über die Bedie- 
nung der Administrationskonsole kann 
man sich nicht mehr beklagen. Ge- 
wöhnungsbedürftig ist lediglich das 
neue Logo. 


Oracle Weblogic Server, Download 
www.oracle.com/technology/products/ 
weblogic 


Oracle Technology Network 
otn.oracle.com 


Dokumentation zu 10gR3 
edocs.bea.com/wIs/docs 103/ 


Viele Kunden haben bereits mit Er- 
scheinen des Weblogic 10.0 die Migra- 
tion eingeleitet. Zumeist hoben sie 
6.ler- oder 8.ler-Installationen auf die 
neue Release, vor allem deswegen, 
weil der Support für die älteren Versio- 
nen in vielen Fällen ausgelaufen ist. 
Theoretisch müsste eine auf Weblogic 
10 migrierte Anwendung klaglos auch 
unter 10gR3 funktionieren, allerdings 
wird das in der Praxis wohl kaum je- 
mand ausprobieren wollen. Die noch 
mit Bea getroffenen Lizenzvereinba- 
rungen gelten weiter. 

Es ist nicht damit zu rechnen, dass 
sich viele Kunden derzeit neue Lizen- 
zen zulegen werden, und zwar nicht 
nur aufgrund der noch unfertigen 
Roadmap für das Produkt. Auch wenn 
sich die Übernahme von Bea als ge- 
schickter Schachzug erweisen sollte, 
bleiben Unklarheiten über die Zukunft 
der Software sowie der JEE-Spezifika- 
tion bestehen, die Bea jahrelang aktiv 
mitgestaltet hat. Spätestens wenn der 
Weblogic Server seine Oracle-spezifi- 
sche Unterfütterung erhält und sich in 
die Fusion-Palette einfügt, stellt sich 
die Frage, ob er noch als unabhängiger 
JEE-Application Server seinen Dienst 
in anderen als Oracle-Installationen 
verrichten kann. (jd) 


MARKUS EISELE 
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logie im Center of Competence 
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Embedded Hypervisor 


lein und fein zu sein zählt zu den 
Kies der Virtualisierungs- 

software ESXi von VMware. Im 
September 2007 brachte der Hersteller 
das Leichtgewicht auf den Markt, seit 
dem 28. Juli 2008 verschenkt er es 
nach Registrierung per Download. Der 
Hypervisor begnügt sich mit 32 MByte 
und bietet alles, was man braucht, um 
virtuelle Maschinen einrichten, starten 
und stoppen zu können. Ein geschickter 
Schachzug von VMware, denn zum ei- 
nen hat das kräftig zur Verbreitung von 
deren Virtualisierungstechnik beigetra- 
gen, zum anderen jeden, der mehr will, 
etwa eine Migration im laufenden Be- 
trieb, quasi zum Kauf weiterer Kompo- 
nenten der VMware Infrastructure 3 
(VI3) gedrängt. 


Gut verpackt 
im kleinen Speicher 


Dank des geringen Umfangs passt der 
ESXi auf einen handelsüblichen Flash- 
Speicher. Und da fast alle neueren Sys- 
teme über USB booten können, steht 
dem Einrichten virtueller Systeme 
nichts im Wege. Die Folge sind eine 
ganze Reihe vorgefertigter Maschinen 
vom BSD-, Linux-, Unix- und Win- 
dows-Server bis hin zu Datenbanken 
oder SAPs Business-Software. Das ver- 
anlasste VMware zur letzten VMworld 
[1], Kunden USB-Sticks zu schenken, 
auf denen ESXi bootfähig installiert ist. 
Und nahezu alle Systemhersteller lie- 
ßen es sich nicht nehmen, „VMware 
ESX embedded“ zu verkünden. 

Dazu zählte Fujitsu Siemens Com- 
puters, die sich beim Wort nehmen 
ließen und ihren Primergy Server 
RX300 S4 mit ESXi an Board zur Be- 
gutachtung schickten. Das solide zwei 
Einheiten hohe Einbau-System fürs 
Rack präsentiert nach dem Einschalten 
auf der Konsole ein Startbild, dass 
dem Administrator die per DHCP be- 
zogene URL für das Web-Interface 
zum ESXi verrät. 


Grundlegendes 
unter der Oberfläche 


Außer zwei Funktionstasten zum Run- 
terfahren und Konfigurieren gibt es kei- 
ne weiteren Bedienelemente. Über F2 
kann der Administrator grundlegende 
Dinge erledigen: ein Passwort setzen, 
im Lockdown Mode „root“ aussperren, 
das Netz konfigurieren und neu starten, 
das Keyboard auswählen, Support-In- 
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Primergy-Server mit 


VMwares ESXi embedded 


Nach der ersten VMworld in Europa Anfang des Jahres war 
das Thema Virtualisierung embedded mit VMwares ESXi in 

aller Munde. Fujitsu Siemens Computers lieferte einen ersten 
Server aus deutscher Produktion mit VMwares Hypervisor on 


board. 


formationen abrufen wie Servicenum- 
mer, Lizenz und SSL-Thumb (SSAI), 
drei Arten von Log-Dateien auslesen 
(Infos, Cuio und Management Agents), 
die Management Agents neu starten 
und das ganze System in den Ausliefe- 
rungszustand zurücksetzen. Alles in al- 
lem wenig Kompliziertes. Zum Lesen 
und Durchsuchen der Log-Dateien 
dient eine Art vi, bei dem aber der Zu- 
griff auf die Shell per „:!“ gesperrt und 
kein Abbruch per Hot-Key möglich ist. 
Sämtliche Konfigurationsdaten spei- 
chert ESXi auf dem Stick. 


Der weitere Weg ist geebnet, so- 
bald man auf den Webserver zugreifen 
kann. Dazu bedarf es nur der richtigen 
Webadresse, die der Server bei Aus- 
lieferung per DHCP erhält. Unter der 
erscheint im Webbrowser eine Seite, 
auf der VMware zum Download des 
freien Infrastructure Client (VIC) auf- 
fordert und für das stromlinienförmi- 
ge Gestalten (Streamlining) den kos- 
tenpflichtigen Virtualcenter Server 
sowie die Dokumentation für Infra- 
structure 3 anbietet. Den Client gibt es 
nur für Windows, für Windows und 
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Embedded Hypervisor 


VMware ES% Server 3i 3.5.8 build-A8888 


UMware, Inc. 


VMware Virtual Platform 


Intel{R) ECore(TM)2 Duo CPU T7588 © 2.2AGHz 
1 GB Memory 


Abschreiben: Nach der Konfiguration muss sich der Administrator die IP 
merken, denn weiter geht es per Browser von einem anderen Rechner aus. 


Linux bietet VMware ein per Kom- 
mandozeile gesteuertes Werkzeug an. 
Das Aktivieren des zugehörigen Links 
führte auf eine unübersichtliche Seite, 
auf der man unter CLI (Command Line 
Interface) einen Download-Link fin- 
det. Dort liegt außer den beiden ge- 
nannten Varianten noch eine weitere 
Zip-Datei mit einer VM, die das Kom- 
mandozeilen-Interface bereitstellt. Das 
ist aber nicht für den produktiven Ein- 
satz gedacht. 

Mit der grafischen Oberfläche des 
VIC kann der Administrator intuitiv 
mit dem System arbeiten, den Zugang 
ändern und schützen, virtuelle Maschi- 
nen (VMs) aufbauen und die Res- 
sourcen zuweisen — ESXi halt [2]. Die 
grafische Benutzeroberfläche bietet ei- 
nen großen Umfang an Informationen 
und Funktionen, der klar gegliedert 
und fast ausschließlich selbsterklärend 
ist. Für die VMs sind Konsolen erreich- 
bar, die mit der Maus fast punktgenau 
synchronisieren. Das CLI hingegen 
kommt mit einer mageren Hilfefunk- 
tion daher und bietet rudimentäre 
Funktionen wie start, stop, snapshot 
und suspend nebst einer Statusabfrage. 

Man erfährt etwas über die Ausstat- 
tung der physischen Maschine mit 
CPUs und Speicher, wer mehr über 
die Hardware wissen will, muss vor 
Ort nachschauen. Nach dem Öffnen 
der oberen Metallabdeckung im lau- 
fenden Betrieb fällt sofort ein hellblau 
leuchtende LED unter einer Plexiglas- 
abdeckung des Rechners ins Auge: Sie 
gehört einem USB-Stick, der zwischen 
Chips und Datenleitungen in einem 
USB-Anschluss mitten auf dem Board 
steckt. Wer den Stick im ausgeschal- 
teten Rechner herauszieht, hat nach 
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dem Neustart einen betriebssystem- 
freien RX-Server vor sich. Auf dem 
2 GByte fassenden Flash-Speicher 
sind vier FAT16-Partitionen unterge- 
bracht. 


Device Boot Start End Blocks Id System 
/dev/sdfl 5 750 763904 5 Extended 
/dev/sd#4 * 1 4 4080 4 FATI6<32M 
/dev/sdf5 5 52 49136 6 FATI6 
/dev/sdf6 53 100 49136 6 FATI6 
/dev/sd7 101 210 112624 fc Unknown 


/dev/sd8 21 750 552944 6 FATI6 


Sie erscheinen unter Linux als: 


.hal-mtab Hypervisor0/ _ Hypervisor2/ 
.hal-mtab-Iock Hypervisorl/ _Hypervisor3/ 
Partitionen 


wie auf einer Platte 


Jedes Hypervisor-Verzeichnis enthält 
unterschiedliche Inhalte. Im ersten ru- 
hen die Grundkonfiguration, die Linux- 
Loader und das Boot-Image, im zwei- 
ten und dritten gepackte Dateien, im 
vierten das Filesysteme mit allem, was 
ESXi braucht. Beim Hochfahren des 
Rechners startet es vom Stick. Es sucht 
anschließend nach Updates und führt 
sie automatisch durch. Am 12. August 
2008 gab es eine Überraschung: Die 
Lizenzen waren abgelaufen, da wohl 
jemand vergessen hatte, die Zeitbom- 
be der Beta-Version im Update 2 aus 
dem Code zu entfernen. Zwar beein- 
trächtigte das laufende VMs in keiner 
Weise, aber schlafen gelegte oder run- 
tergefahrene ließen sich nicht mehr 
aktivieren. 

Am 13. kam ein Patch für embed- 
ded ESXi heraus, den FSC mit einer 


Anleitung lieferte, wie der Stick neu 
zu bespielen ist. Demnach geht es 
nicht auf dem Server, da dort kein Be- 
triebssystem läuft, das den USB-Stick 
als Speicher erkennt. Irgendein Win- 
dows-Rechner mit USB-Anschluss 
reicht aber, um den Stick mit neuer 
Software zu versehen. Doch wer seine 
VMs nicht vorher auf einen anderen 
ESXi verlagert hatte — was ja ohne 
kostenpflichtige Erweiterungen mit 
VMwares Infrastructure 3 nicht geht - 
stand nach dem reibungslosen Booten 
des Servers vor dem Nichts. Sämtliche 
VMs waren verschwunden. Wenn man 
einen Server mit embedded ESXi be- 
treiben will, muss man für ein Backup 
sorgen, was aber bei einem einzelnen 
System ohne Zusatzsoftware nicht 
geht. 


Update auch ohne 
Neuinstallation 


Es hätte aber einen anderen Weg gege- 
ben. VMware liefert zum Infrastructure 
Client das Infrastructure Update - so- 
fern man das passende Häkchen in der 
GUI beim Installieren setzt. Das Werk- 
zeug hat VMware speziell für die Auf- 
frischung des ESXi embedded beige- 
legt. Ein zweiter Versuch, im laufenden 
Betrieb Updates auf dem Stick durch- 
zuführen, ging ohne besondere Vor- 
kommnisse vonstatten. Leider übersieht 
man das wichtige Hilfsmittel leicht, da 
es zwischen ihm und dem Client kei- 
nerlei Beziehung gibt, außer dass die 
Icons gleich aussehen. 

Im Grunde genommen kann ESXi 
embedded seine Stärke auf einem ein- 
zelnen Server mit lokalen Platten nicht 
so recht ausspielen. iX-Autor Sven Ah- 
nert [3], der ESXi selbst einsetzt, sieht 
echte Vorteile vor allem in Umgebun- 
gen mit Speichernetzen. Dort kann 
man Server mit ESXi im Stick völlig 
ohne lokale Laufwerke betreiben. 
Neue Server braucht der Admin nur 
ans Speichernetz zu koppeln und zu 
konfigurieren. 

Außerdem sparen Diskless-Server 
Strom und produzieren weniger Wär- 
me. Ein weiteres Plus erhält die Mobi- 
lität: Der Stick lässt sich ohne Weite- 
res an anderen Servern betreiben. Bei 
einem Systemwechsel bleibt die Kon- 
figuration erhalten. Nutzt man einen 
Rechner mit anderen Aufgaben, sind 
nur wenige Parameter umzustellen, oft 
reicht das Ändern der IP, sofern nicht 
DHCP eingestellt ist. Was für den 
Stick gilt, gilt selbstverständlich auch 
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für Server mit anderen Speichermedien 
wie Solid State Disks (SSD). 


Fazit 


Abgesehen von exotischen Kombina- 
tion aus Rackserver und integriertem 
USB-Stick on board — was den Begriff 
von embedded arg strapaziert — bleibt 
ein bitterer Nachgeschmack angesichts 
des Update-Desasters. Schlank und frei 
ist der ESXi Hypervisor, aber seine 
Funktionen sind rudimentär. Hinzu 
kommt die doppelte Abhängigkeit von 
Windows: Einmal braucht man es, um 
den grafischen Client nutzen zu kön- 


© schnelle Konfiguration 
© intuitive Bedienbarkeit 


© Einsparung von Energie und 
Ressourcen 


© Noname-USB-Stick 


nen, zum anderen sind fällige Patches 
des Sticks nur darüber möglich. Von 
welcher Qualität der USB-Stick selbst 
ist, lässt sich so nicht feststellen. Zu- 
mindest rein äußerlich unterscheidet er 
sich von handels- und geschenküb- 
lichen in keiner Weise — eine SSD wür- 
de vertrauenerweckender wirken. 

Dem steht gegenüber, dass der Ser- 
ver, einmal gestartet, rund läuft und die 
Bedienung über den Client einfach und 
intuitiv ist. Eine feine Sache, wenn man 
mal das eine oder andere ausprobieren 


RX30054 ESXi 


Hardware: zwei Xeon Quad-Core L5420, 

2,5 GHz; 16 GByte RAM (8 x 2 GByte]; 
RAID 5/6, 272 GByte RAID 1, 136 GByte 
RAID 5; DVD-ROM; zwei Gigabit-Ethernet; 
Service-Prozessor; 2-GByte-USB-Stick on board 


Software: ESX 3i Server 3.5 Update 2 


Hersteller: Fujitsu Siemens Computers, 
www.fujitsu-siemens.de 


Preis: ab 940 € 


möchte und der Verlust einer VM keine 
weiteren Auswirkungen hat. Als allein 
stehender Server eignen sich FSCs Pri- 
mergy Server RX300 S4, das Pendant 
mit AMD-CPU RX330 S1 oder das 
Standgerät TX300 S4 mit ESXi embed- 
ded für kleine Betriebe oder Außenstel- 
len, die mehrere Server-Instanzen benö- 
tigen, anderenfalls dürfte ein „normaler“ 
Server geeigneter sein. Die eigentlichen 
Vorteile des ESXi embedded kommen 
jedoch erst in Verbindung mit Speicher- 
netzen wie SAN und mehreren Servern 
zum Tragen. (rh) 
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REPORT 


Publishing 


Schwierigkeiten beim Erstellen 
barrierefreier PDFs 


Hürden nehmen 


Helmut Moritz 


Die Technik zur Erstellung barrierefreier PDF-Dokumente 

ist seit drei Jahren beinahe unverändert geblieben, und es 
gibt nach wie vor keinen Standard dafür. Das führt zu Unmut 
bei Anbietern und Produzenten solcher Dokumente, da viele 
Fragen ungeklärt bleiben und sie Fehler in Kauf nehmen 
müssen. Auch Adobe hat es in der neuen Version 9 von 
Acrobat verpasst, die Technik zur Reife zur bringen. 


arrierefreie PDFs sollen den Zu- 
B gang zum Inhalt eines Doku- 

ments für Menschen mit Behin- 
derungen erleichtern beziehungsweise 
überhaupt ermöglichen. Das erreicht 
man 
— durch Bildschirmleseprogramme, die 
den Inhalt des PDF-Dokuments korrekt 
erkennen, 
-durch die Ausgabe des Inhalts frei von 
optischer Gestaltung und in der korrek- 
ten Reihenfolge (dieser „Umfließen- 
Modus“ ist vergleichbar mit der Be- 
trachtung einer Internetseite in einem 
Textbrowser) und 
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— dadurch, dass unter anderem Lesezei- 
chen die Navigation per Tastatur er- 
leichtern. 

Zu diesem Zweck versehen Auto- 
ren die Elemente innerhalb eines PDF- 
Dokuments mit Auszeichnungen, so- 
genannten Tags. Für Überschriften 
steht beispielsweise ein <h>-Tag zu 
Verfügung, für Absätze ein <p>, und 
Listenelemente werden mit einem <li> 
ausgezeichnet. Hieraus ergibt sich der 
Tag-Stamm oder auch Tag-Baum. 
Weitere Anforderungen sind, dass das 
Dokument Lesezeichen enthält, wesent- 
liche Abbildungen mit einem Alterna- 


tivtext versehen sind und die Haupt- 
sprache definiert ist. Der „Umfließen- 
Modus“ sieht vor, dass der Inhalt bei 
einer Größenskalierung weiterhin kor- 
rekt erscheint (Abbildung 1). Fehler- 
frei lassen sich solche Dokumente bis- 
her nur mit Acrobat und Indesign von 
Adobe erstellen. 


Bisher keine 
Bindung an Standards 


Die Erstellung von Dokumenten, die 
den oben genannten Kriterien entspre- 
chen, ist schwierig und mitunter sogar 
unmöglich. Die Technik ist unausge- 
reift, und es gibt keinen Standard, ge- 
gen den Autoren testen könnten. Leid- 
tragende dieser Situation sind unter 
anderem öffentliche Institutionen und 
Dienstleister, da sie barrierefreie PDF- 
Dokumente anbieten oder produzieren 
müssen. 

2002 hat die Bundesregierung erste 
Ansätze konkretisiert, um PDF-Doku- 
mente zugänglicher zu machen: Die 
„Barrierefreie Informationstechnik-Ver- 
ordnung“ (BITV) ist eine Ergänzung 
des Behindertengleichstellungsgesetzes 
und soll bewirken, dass Menschen mit 
Behinderungen in der Lage sind, Zu- 
gang zum Internetangebot von Behör- 
den der Bundesverwaltung zu finden 
oder dass ihnen dieser Weg zumindest 
erleichtert wird (siehe „Onlinequellen“). 
Diese Verordnung gilt gleichermaßen 
für PDF-Dokumente. 

Das Projekt „Barrierefrei Informieren 
und Kommunizieren“ (BIK) verfolgt 
das Ziel, „Webangebote besser zugäng- 
lich zu machen“. Der in diesem Rahmen 
entwickelte BITV-Test überprüft in re- 
gelmäßigen Abständen die Internetange- 
bote der Bundesministerien. Die Moti- 
vation von BIK ist unter anderem, dafür 
zu sorgen, dass behinderte Menschen 
nicht mehr wie heute in vielen Fällen 
Texterkennungssoftware einsetzen müs- 
sen, um sich ein PDF-Dokument er- 
schließen zu können. „Eine Navigation 
anhand von Strukturmarkierungen ist 
dann nicht mehr möglich, was dem 
Gleichstellungsgrundsatz widerspricht“, 
kritisiert Detlef Girke von BIK. Die An- 
forderungen des BITV-Tests an PDF- 
Dokumente sind umfangreich und bie- 
ten zumindest ein Regelwerk, an dem 
sich Anbieter und Entwickler orientie- 
ren können. Doch noch immer existiert 
kein verlässlicher Standard zur Optimie- 
rung eines PDFs auf Barrierefreiheit. 
Viele Ansätze zur Optimierung beruhen 
daher auf Interpretationen. 


iX 11/2008 


© Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. 


iX 11/2008 


© Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. 


85 


REPORT 


Publishing 


Die Darstellung eines 
Inhaltsverzeich- 
nisses: links im 
Normalmodus und i 


hts i fließ . Inhaltsverzeichnis L 
rechts im Umfließen- er inernier hans busen 


Modus, bei dem der 
Inhalt einzeln pro 
Zeile und in der 
korrekten Reihen- 
folge ohne Schmuck- 
elemente erscheint 


( Abb. 1 ). 4, Überscheift zweiter Ehune 
3. Überschrift erster Ebene 4 


Ein Inhaltsverzeichnis 
in der Normalansicht 


ti. Überschrift zweiter Ebene 


2. Überschrift zweiter Ebene 
w Dritte Ebene Nummer L 
m Dritte Ebene Numiner 2 
m Dritte Ebene Nummer 3 


3. Überschrift zweiter Ebene 


4. Und die letzte Überschrift 


Das gleiche Inhaftsverzeichnis 
im Umfließen-Modus (Reflow} 


Überschrift erster Ebene 
l: 

Überschrift zweiter Ebene 
Fl 

Überschrift zweiter Ebene 
Dritte Ebene Nummer 1 
Dritte Ebene Nummer ? 
Dritte Ehene Nummer 3 

3. 

Überschrift zweiter Ebene 
Überschrift zweiter Ebene 
3 


Überschrift erster Ehene 


4. 
Und die letzte Überschrift 


Unter den Dienstleistern, die bar- 
rierefreie PDF-Dokumente erstellen, 
herrscht allerdings Unmut über den 
BITV-Test. „Weg mit der PDF-Prüfung 
im BITV-Test“, fordert Brigitte Borne- 
mann-Jeske von der BIT GmbH. Die 
PDF-Prüfung solle nicht zum Pflicht- 
programm des Tests gehören. Nach wie 
vor sei die Technik unausgereift, wes- 
wegen barrierefreie PDF-Dokumente 
nicht zu den Standardanforderungen an 
barrierefreie Webseiten gehören sollten. 
Bornemann-Jeske weist zudem darauf 
hin, dass die aktuelle Regelung zu un- 
strukturierten Handlungen führt: „PDF- 
Dokumente werden mit großem Auf- 
wand „nachgetaggt“, bei miserabler 
technischer Unterstützung.“ Wichtiger 
sei es, dass man Druck auf den Soft- 
warehersteller Adobe ausübe, der für 
die technische Misere verantwortlich 
zeichnet. 


Aufwand für das 


Erfüllen von Kriterien 


Zu den wenigen Dokumentationen ge- 
hört Adobes Publikation „Erstellen von 
barrierefreien PDF-Dokumenten mit 
Adobe Acrobat 7.0“. Sie ist umfang- 
reich und punktuell hilfreich, stammt 
allerdings schon aus dem Jahr 2005 


und lässt viele Fragen offen. Bis heute 
gibt es keine aktuellere Version dieses 
Dokuments - im Gegenteil: Zu finden 
ist es im „Accessibilty Design Center“ 
von Adobe, wo der Hersteller den drei 
Jahre alten Text an populärer Position 
bewirbt. Immerhin ist eine neue Ver- 
sion für die kommenden Wochen ange- 
kündigt. Die „Beispiele für barriere- 
freie Inhalte‘ auf der Website enthalten 
leider nicht ein einziges PDF. Bedenk- 
lich ist, dass die Dokumentation „Le- 
sen von barrierefreien PDF-Dokumen- 
ten mit Adobe Acrobat 7.0“ (Handbuch 
für Benutzer mit Behinderungen) bei 
einer Prüfung auf Basis der vom Her- 
steller selbst aufgestellten Kriterien 
durchfallen würde. 

Bleibt die Frage, wie sich bei der Er- 
stellung barrierefreier PDF-Dokumen- 
te ein vernünftiges Resultat erzielen 
lässt, das den BITV-Test erfüllt, die 
automatische Prüfung fehlerfrei meis- 
tert und das wichtigste Kriterium er- 
füllt: die Zugänglichkeit zumindest zu 
erleichtern. Eine zu hundert Prozent 
gültige Antwort hierauf gibt es derzeit 
nicht, jedoch werden im Folgenden 
Ansätze beschrieben, wie man diesem 
Ziel nahekommen kann. 

Zunächst gilt es zwischen zwei 
Dokumententypen zu unterscheiden: 
Cross-Media-Dokumenten, die sowohl 


A-TRACT 


© Barrierefreie PDF-Dateien sollen den Inhalt von Dokumenten auch Menschen mit 
körperlichen Einschränkungen zugänglich machen. 


© Damit dies möglich ist, können Autoren Dokumente mit speziellen Tags versehen. 
Unterstützung dafür bieten die Produkte Acrobat und Indesign von Adobe. 


© Die Technik, die die Erstellung barrierefreier PDF-Dokumente unterstützt, lässt noch 
zu wünschen übrig und garantiert nicht, dass ein Dokument den Test der „Barriere- 
freien Informationstechnik-Verordnung" erfolgreich durchläuft. 
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als Print- als auch als Onlinedokument 
erscheinen, sowie reinen Onlineveröf- 
fentlichungen. Erstere erstellen Auto- 
ren beispielsweise mit QuarkXpress, 
TeX oder Adobes Indesign. Dabei ge- 
währleistet nur die Verwendung von 
Indesign bei der richtigen Vorbereitung 
der Texte ein bezüglich der Barriere- 
freiheit vernünftiges Resultat. 

Eine Nachbearbeitung in Acrobat 
ist zumeist erforderlich. Anwender ha- 
ben hierzu einerseits die Möglichkeit, 
einen Tag-Stamm automatisiert zu er- 
stellen. Für Cross-Media-Dokumente 
kommt innerhalb von Acrobat nur die 
Funktion „Tags zum Dokument hinzu- 
fügen“ infrage, die versucht, automa- 
tisch Elemente zu identifizieren und zu- 
zuordnen. Das Resultat ist ernüchternd, 
und eine händische Auszeichnung des 
gesamten Dokuments erscheint zumeist 
schneller als die automatisch erzeugten 
Tags korrekt zu sortieren und umzude- 
finieren. Fragt sich, wieso die automa- 
tische Erstellung des Tag-Stamms in 
Acrobat so schlechte Resultate liefert. 
Laut Hersteller kann die Software bei 
einer automatisierten Erstellung „nicht 
immer zwischen instruktiven Abbildun- 
gen und dekorativen Seitenelementen“ 
unterscheiden. Weitere Schwierigkei- 
ten ergeben sich durch Grafikzeichen 
im Text. Solche Fehler können dazu 
führen, dass der Tag-Baum unüber- 
sichtlich und die Lesereihenfolge für 
die Hilfstechnik zu kompliziert wird. 


Gute Resultate 
durch gute Vorbereitung 


Bei Dokumenten, die der Anwender in 
Textverarbeitungsprogrammen wie Mi- 
crosofts Word oder der Open-Source- 
Software Openoffice erstellt, kann er 
bei guter Vorbereitung vernünftige Re- 
sultate erzielen — von einigen wenigen 
Fehlern und einem geringen Bedarf an 
manueller Nachbearbeitung abgesehen. 
Openoffice liefert die Funktion zur Er- 
stellung von PDF-Dokumenten direkt 
mit, bei Word muss man ein Konver- 
tierungs-Plug-in installieren. Folgende 
Punkte gilt es bei der Vorbereitung von 
Word-Dokumenten zu beachten: 
— Speziell bei Überschriften sollten 
Formatvorlagen zum Einsatz kommen. 
— Alternativtexte sollte der Autor be- 
reits in der Textverarbeitung vergeben. 
— URLs sollten als konkrete Hyperlinks 
ausgezeichnet sein. 

Innerhalb von Openoffice gelten 
dieselben Regeln, deren Anwendung 
über vergleichbare Dialoge erfolgt. 
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Zusätzlich muss der Autor in Word dar- 
auf achten, dass bei den Konvertierungs- 
einstellungen die Haken bei „Textzu- 
griff für Sprachausgabeprogramme für 
Sehbehinderte“ und „Erweiterte Tag- 
Erstellung aktivieren“ gesetzt sind. Zu- 
sätzlich kann er unter der Registerkarte 
„Lesezeichen“ einstellen, dass Word 
die Überschriften direkt in Lesezeichen 
konvertiert. Openoffice-Anwender müs- 
sen sicherstellen, dass innerhalb der 
PDF-Optionen der Haken bei „Tagged 
PDF“ gesetzt ist. 

Beiden Arten von Dokumenten — 
Cross-Media- sowie speziell für die 
Onlinepublikation erstellten PDFs — 
fehlen aber mitunter bestimmte Eigen- 
schaften, um die BITV-Kriterien zu er- 
füllen oder der Prüfung in Acrobat zu 
genügen. 


Manuelle Bearbeitung 
kann optimieren 


Die folgenden Beschreibungen sind ein 
Versuch, die existierenden Anforderun- 
gen und Spezifikationen so zusammen- 
zuführen, dass ein optimales Resultat 
entsteht. Hierbei ist die sorgsame Ver- 
wendung von Tags unerlässlich. Ma- 
nuell lassen sich die Tags nur in 
Adobes Acrobat ab der Professional- 
Version mit dem Touch-Up-Leserich- 
tungswerkzeug erzeugen. 

Eine der wenigen Maßnahmen, um 
die Bearbeitung zu vereinfachen, ist 
die Identifizierung von Hintergrund- 
elementen, die nicht in den Tag- 
Stamm aufgenommen werden. Hierzu 
gehören meistens Kopf- und Fußzei- 
len, Schmuckbilder sowie Listenpunk- 
te, beispielsweise Spiegelstriche. 

Des Weiteren muss der Autor die 
grundsätzliche Entscheidung treffen, 
ob er einen hierarchischen oder einen 
nichthierarchischen Tag-Stamm ver- 
wenden will. Hierarchisch bedeutet, 


Ja, wir finden auch, dass man noch 


sollte. Das hier kann es jedenfalls nicl u 


— Dasist der Listenpunkt 1 

- Das ist der Listenpunkt 2 

— Dasist der Listenpunkt 3 
- und der hat noch einen Unte 
- undnoch einen Unterpunkt 


- Und dann wieder eine Ebene höl 


logische Blöcke eines Dokuments in 
Containerelemente wie Kapitel (<div>) 
und Abschnitt (<sect>) zu trennen. Bei 
einem nichthierarchischen Aufbau er- 
folgt die Anordnung aller Tag-Elemen- 
te auf einer Ebene. Unter BIK-Kriterien 
ist hinsichtlich dieser Frage lediglich zu 
beachten, dass ein Dokument eine hie- 
rarchische Überschriftenstruktur ent- 
hält, sofern eine solche Struktur er- 
kennbar ist. Ein Ansatz zur Einordnung 
wäre, dass in kurzen Dokumenten eine 
nichthierarchische Struktur vertretbar, 
ansonsten aber die aufwendigere Lö- 
sung mit hierarchischer Komposition 
vorzuziehen ist. 

Mit wenig Aufwand lässt sich ein 
geeigneter Weg finden, Absätze mit 
Fließtext und Überschriften innerhalb 
von Kapiteln aufzubauen. Textdoku- 
mente enthalten jedoch einige klassi- 
sche Elemente, bei denen die PDF- 
Tag-Technik an ihre Grenzen stößt. 
Dazu gehören Listen, Inhaltsverzeich- 
nisse, komplexe Tabellen sowie mehr- 
sprachige und mehrspaltige Dokumente. 
Eine mit Tags versehene Beispieldatei 
mit allen genannten Elementen ist über 
den iX-FTP-Server erhältlich. 

Wer Listen mit Tags versehen will, 
muss sich zunächst entscheiden, ob er 
die Listenzeichen als Hintergrundele- 
mente behandeln will oder ob sie eine 
inhaltliche Bedeutung haben sollen 
(siehe oben). Die gesamte Liste muss 
innerhalb des Behälterelements </> 
stehen (Abbildung 2). Jeder einzelne 
Punkt ist eine Konstruktion aus um- 
schließenden Element (<li>) sowie 
dem darin enthaltenen Körper (<Ibo- 
dy>) mit dem Inhalt. Optional — dies ist 
der Fall, wenn die Listenpunkte bei- 
spielsweise numerische Aufzählungen 
sind, — gehört in das Listenelement die 
Beschriftung (</bl>), in dem sich der 
Listenpunkt befindet. 

Derzeit kann man keine klare Aus- 
sage darüber treffen, ob und wie sich 


Inhalt Reihenfolge Tags 


38 «> AR 
EP <> Listenpunkt 1 
ES g <LBody> 
4 Das ist der Listenpunkt 1 
3 <11> Listenpunkt 2 
EG <U>Listenpunkt 3 
B <iBody> 
= Bl <L> 
2 g <LI> Unterpunkt 1 = 
3. <LI> Unterpunkt 2 
9. <I> Listenpunkt 4 


Der zur Liste im PDF (links) gehörige hierarchische Tag-Baum (rechts) muss 
innerhalb des Behälterelements <L> stehen (Abb. 2). 
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Inhalt 
39 Tags 
=. «Document> 
3 «Part» Seite 1 rechts 


Reihenfolge | Tads 


@ <Part> Seite 2 links 
@ <Part> Seite 2 mitte 
GP <Part> Seite 2 rechts 
3 <Part> Seite 1 links 
@ <Part> Seite 1 mitte 


Die Tag-Reihenfolge in Flyern sollte 
sich an der tatsächlichen Reihenfolge 
im gefalteten Dokument orientieren, 
was über die Verwendung von Behäl- 
terelementen einfach realisierbar ist 
(Abb. 3). 


ein Inhaltsverzeichnis mit Tags verse- 
hen lässt. Ein Argument spricht dafür, 
es überhaupt nicht auszuzeichnen und 
es damit als Hintergrundelement zu be- 
handeln, da Lesezeichen das Inhalts- 
verzeichnis adäquat ersetzen. Der 
BITV-Test unterstützt diese These: So- 
fern das PDF-Dokument auf Basis der 
Lesezeichen navigierbar ist, gilt dies 
als positiv. 

Acrobat stellt aber auch spezielle 
Tags für Inhaltsverzeichnisse zur Ver- 
fügung: Table of Content (<toc>) als 
Behälterelement sowie Table of Con- 
tent Item (<toci>) für die einzelnen 
Einträge. Diese Tags genügen jedoch 
nicht, wenn die Tags äquivalent zu den 
HTML-Auszeichnungen sein sollen. 
Da Inhaltsverzeichnisse eine Auflis- 
tung der Überschriften repräsentieren, 
benötigt der Anwender Listen-Tags, 
was ein Inhaltsverzeichnis rasch zu ei- 
nem umfangreichen Tag-Gebilde wer- 
den lässt. 


Komplexe Tabellen 
sind schwer erfassbar 


Bereits bei der Erstellung von Tabel- 
len muss der Autor Wert darauf legen, 
dass der Inhalt für Screenreader lo- 
gisch erfassbar ist. Dies bedeutet zum 
Beispiel, keine einzelnen Zellen mit- 
einander zu verbinden oder Über- 
schriftenzellen für mehrere Spalten 
oder Zeilen zu konzipieren. Viele Ta- 
bellenkonstruktionen, die mit XHTML 
W3C-konform realisierbar sind, lassen 
sich mit den PDF-Tags nicht abbilden. 


iX 11/2008 


© Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. 


iX 11/2008 


© Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. 


89 


REPORT 


Publishing 


Die in der Beispieldatei enthaltene Ta- 
belle ist eine Referenz dafür, dass ver- 
schachtelte komplexe Tabellen mit 
dem Tag-Satz nicht erfassbar sind. 
Denn es stehen nur Tags für die Ta- 
belle selbst (<table>), Zeilen (<tr>), 
Überschriftenzellen (<th>) und Da- 
tenzellen (<td>) bereit. Einzelne Zel- 
len innerhalb einer Spalte lassen sich 
nicht miteinander verbinden. Es kann 
eine Hilfe sein, eine Tabelle in mehre- 
re Tabellen zu unterteilen und diese 
zusammen in eine Gesamttabelle ein- 
zuordnen. 

Es ist auch möglich, Tags zu inte- 
grieren, die lediglich Informationen für 
Screenreader liefern sollen, aber kei- 
nem Inhaltselement im PDF zugeord- 
net sind. Mit diesen unsichtbaren Ele- 
menten lässt sich eine Tabelle ohne 
Überschriftenzeile mit einer unsicht- 
baren Hilfe versehen. Der PDF-Stan- 
dard fordert jedoch, dass jeder Tag ei- 
nem tatsächlichen Inhalt zugeordnet 
ist. Diese Vorgabe kann mitunter zu 
Kollisionen bei der automatischen 
Prüfung führen. 

Innerhalb barrierefreier PDF-Doku- 
mente muss eine Hauptsprache defi- 
niert sein. Vereinzelt werden jedoch 
Dokumente veröffentlicht, in denen 
zwei Sprachen quasi gleichwertig do- 
kumentenweit nebeneinander stehen. 
Unter den Kriterien der Barrierefrei- 
heit müsste der Autor trotzdem eine 
Hauptsprache vergeben. Die nicht als 
solche definierte zweite Sprache wird 
dann in allen Inhalten im jeweiligen 
Tag angegeben. 

Im Umfließen-Modus verursachen 
vor allem mehrspaltige Dokumente 
Schwierigkeiten. Das liegt allerdings in 
den meisten Fällen nicht an einer feh- 


lerhaften Auszeichnung der Inhalte, 
sondern an der falschen Funktions- 
weise dieses Darstellungsmodus in 
Acrobat. Die Beispieldatei erreicht bei 
der automatischen Prüfung den Status, 
fehlerfrei zu sein. Im Umfließen-Mo- 
dus wird allerdings die zweite Seite 
überhaupt nicht verändert, und in der 
Tabelle auf der dritten Seite überlappen 
sich die Inhalte. 


Flyer lassen sich 
korrekt auszeichnen 


Öffentliche Anbieter geben häufig 
Flyer heraus, die innerhalb eines PDF- 
Dokuments aus zwei Seiten bestehen. 
Die Lesereihenfolge ist aber eine ande- 
re, danach dem Zusammenfalten min- 
destens sechs Seiten entstehen. Ein 
Beispiel hierfür ist der Flyer „Arten- 
schutz im Urlaub“, herausgegeben vom 
Bundesministerium der Finanzen. Hier 
darf die Auszeichnung der Tags nicht 
von links oben nach rechts unten er- 
folgen, sondern das rechte Drittel der 
Seite 1 ist das erste Element, gefolgt 
von der Seite 2 von links nach rechts 
sowie der Seite 1 von links bis zur 
Mitte. Screenreader lesen den Inhalt 
durch diese Vorgehensweise korrekt 
vor (Abbildung 3). 

Neben den erwähnten Schwach- 

punkten der Auszeichnungstechnik er- 
schweren einige andere Aspekte die 
Arbeit mit Acrobat, wenn es darum 
geht, barrierefreie Dokumente zu er- 
stellen: 
— Schließt der Anwender ein Dokument 
während der Tag-Bearbeitung, er- 
scheint keine Sicherheitsabfrage, ob er 
die Änderungen speichern möchte. 


Barrierefreie Informationstechnik-Verordnung (BITV) 


de.wikipedia.org/wiki/BITV 


Barrierefrei Informieren und Kommunizieren (BIK] 
www.bik-online.info 


Presseerklärung zur Umsetzung des Behindertengleichstellungsgesetzes 
www.bik-online.info/test/ministerien_2006/pressemitteilung.php 


BITV-Test 
bitvtest.de 


Anforderungen des BITV-Tests an PDF-Dokumente 


www.bitvtest.de/index.php®a=di&iid=1125&s=n 


Creating Accessible PDF Documents with Adobe Acrobat 7.0 
www.adobe.com/enterprise/accessibility/pdfs/acro7_pg_ue.pdf 


Accessibility Design Center 
www.adobe.com/de/accessibility/ 


Flyer „Artenschutz im Urlaub” 


www.bundesfinanzministerium.de/nn_618/DE/BMF__Startseite/Service/Broschueren_ 


Bestellservice/Zoll/60404,templateld=raw,property=publicationFile.pdf 
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— Bei einer Speicherung klappen alle 
Behälterelemente im Tag-Stamm zu, 
und der Anwender muss sie zur 
Weiterbearbeitung neu öffnen. 

— Die Bezeichnungen der Tags in der 
Adobe-Dokumentation weichen von 
denen im Programm ab. 

— Bei der Bearbeitung mit dem Touch- 
Up-Leserichtungswerkzeug steht nur 
ein Teil der benötigten Tags zur Ver- 
fügung. 

— Die Bezeichnungen der Tags in der 
deutschen Version sind übersetzt, so- 
dass der jedem Internetentwickler ge- 
läufige Tag <div> unter dem Begriff 
„Teilung“ zu finden ist. 

- Änderungen im Dialogfenster „Touch- 
Up-Eigenschaften“ wurden bis zur Ver- 
sion 9 erst übernommen, nachdem der 
Anwender das geänderte Eingabefeld 
verlassen und das Fenster geschlossen 
hatte. 

-Es ist häufig der Fall, dass beim Aus- 
zeichnen mit Tags Inhalte aus dem 
sichtbaren Bereich verschwinden. Dies 
liegt vermutlich daran, dass sich die 
Hierarchie der Ebenen beim Auszeich- 
nen dokumentintern ändert. Abhilfe 
schafft in dem Fall nur der Weg über 
das Navigationsfenster „Inhalte“. Der 
„verschwundene“ Inhalt kann hier 
wiedergefunden und durch eine Ver- 
schiebung in der Hierarchie erneut 
sichtbar gemacht werden. 


Acrobat 9 hilft 


auch nicht weiter 


Im Juni 2008 ist die Version 9 von 
Adobes Acrobat erschienen. Bezüglich 
der in diesem Artikel betrachteten Ei- 
genschaften und Funktionen gibt es so 
gut wie keine Veränderung. Die er- 
wähnten Schwachstellen und Barrie- 
ren sind erhalten geblieben. Das be- 
deutet, die bis mindestens zur nächsten 
Release zu verwendende Technik ist 
bereits drei Jahre alt. Zu beachten ist, 
dass Adobe mit Acrobat 9 die neue 
Version Pro Extended eingeführt hat, in 
der Anwender Videos und PDF-Karten 
einbetten können. Diese neuen Elemen- 
te kann der Anwender laut Hersteller 
mit Tags versehen. (ka) 


HELMUT MORITZ 


arbeitet als Produktmanager bei der 
1&]1 Internet AG. 


EiX-Link ix0811084 IR 
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ls Anfang 2008 innerhalb weni- 
BR: Tage von insgesamt vier 
Seekabel-Brüchen im Mittel- 
meer und im Persischen Golf die Rede 
war, machten sogleich Verschwö- 
rungstheorien die Runde. Sie stellten 
sich später als haltlos heraus. Für je- 
den Kabelbruch gab es eine plausible 
Erklärung: Schiffsanker hatten die bei- 
den Kabel vor der ägyptischen Küste 
und eines im Persischen Golf zerris- 
sen. Ein Stromausfall beschädigte ein 
weiteres Kabel im Persischen Golf. 
Letztlich blieb auch das befürchtete 
Chaos aus. Immerhin verlor das für 
die Call-Center-Industrie wichtige 
Ägypten vorübergehend etwa 70 Pro- 
zent seiner Internet-Kapazität und 30 
Prozent der internationalen Telefon- 
verbindungen. Nach Angaben der Fir- 
ma FLAG, die zwei dieser Seekabel 
betreibt, waren 85 Millionen Internet- 
nutzer vorübergehend offline. 
Mittlerweile haben Spezialfirmen 
die Schäden an den Kabeln beseitigt, 
doch einige Fragen bleiben. Etliche 
IT-Abteilungen von Unternehmen las- 
sen mögliche Ansprüche gegen ihre 
Telekommunikationsanbieter prüfen, 
weil beispielsweise die Niederlassung 
oder der Outsourcing-Dienstleister in 
Indien keinen oder spürbar gebrem- 
sten Zugriff auf die Unternehmensnet- 
ze hatte. Die Dienstleister erteilen 
dann meist eine Absage und verwei- 
sen auf „höhere Gewalt“, für die man 
eben nicht einzustehen habe. Das ist 
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berücksichtigen 


Tobias Haar 


der sicheren Seite. 


rechtlich betrachtet richtig und falsch 
zugleich. 

Gerade unternehmenskritische Pro- 
zesse erfordern juristische Überlegun- 
gen zur Festlegung des Handlungsbe- 
darfs, damit man im Fall der Fälle nicht 
„ohne Netz‘ dasteht. IT-Verantwortli- 
che, die hier falsche Entscheidungen 
treffen oder zu lax handeln, bringen 
nicht nur ihre Firma in Gefahr, sondern 
— weil sie vielleicht bestimmte allge- 
meingültige Standards missachten — 
auch ihren Arbeitsplatz. Organe wie 
Vorstände von Aktiengesellschaften 
fangen sich zudem auch Regressan- 
sprüche der Gesellschaft ein. 


Im Gesetz 
nicht vorgesehen 


Wer viel mit Verträgen zu tun hat, 
kommt früher oder später mit Klau- 
seln zu „höherer Gewalt“ oder ‚force 
majeure“ in Berührung. Gerade in an- 
gloamerikanischen Verträgen gehören 
sie — genau wie Klauseln zur Haftung, 
zum anwendbaren Recht oder zum 
Gerichtsstand — an sich zu den Stan- 
dardregelungen, die in keinem Vertrag 
fehlen dürfen. In deutschen oder kon- 
tinentaleuropäischen Verträgen hinge- 
gen sind sie weniger verbreitet, weil 
sie streng genommen — etwa nach 
deutschem Recht - nicht zwingend er- 
forderlich sind. Allerdings nehmen 
auch deutsche Juristen immer häufiger 


Höhere Gewalt in Verträgen 


Unvorher- 
sehbar 


Wenn in der heutigen vernetzten Welt kritische Geräte 
oder Dienste ausfallen, kann es teuer werden - auch 
wenn es wegen „höherer Gewalt” passiert. Wer solchen 
Szenarien durch rechtliche Voraussicht begegnet, ist auf 


solche Klauseln in unternehmenskriti- 
sche Verträge auf. 

Dahinter steht zum einen, dass man 
sich im internationalen Geschäfts- 
verkehr mittlerweile häufig an Ge- 
pflogenheiten im US-amerikanischen 
Recht orientiert. Tendenziell verein- 
heitlicht sich „die“ internationale Ver- 
tragssprache, und regionale Besonder- 
heiten verblassen. Zum anderen — und 
das ist aus rechtlicher Sicht ein valides 
Argument — verlässt man sich dann 
nicht mehr auf das, was sowieso im 
Gesetz steht, sondern regelt für beide 
Vertragspartner in (hoffentlich) ein- 
deutiger Weise, was für sie unter dem 
Begriff „höhere Gewalt“ zu verstehen 
ist und — fast noch wichtiger — was 
gelten soll, wenn ein solcher Fall tat- 
sächlich eintritt. Gerade die Seekabel- 
Fälle zeigen, dass solche Situationen 
viel häufiger eintreten, als man mei- 
nen möchte. 


Mit äußerster Sorgfalt 


Eine Definition des Begriffs „höhere 
Gewalt“ gibt es im deutschen Recht 
nicht. Das Bürgerliche Gesetzbuch 
(BGB) nennt es „Zufall“ ($ 287 BGB) 
oder „zufälligen Untergang“ ($ 848 
BGB), wenn jemand für den Verlust 
einer Sache auch dann einzustehen 
hat, falls ihn an dem Verlorengehen 
gar keine „Schuld“ trifft. Eine Defini- 
tion könnte aber lauten, dass es sich 
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bei höherer Gewalt um „ein von außen 
kommendes, außergewöhnliches und 
unvorhersehbares Ereignis handelt, 
das auch äußerste Sorgfalt des Betrof- 
fenen nicht verhindern kann“. Es muss 
sich also um einen Umstand handeln, 
den der Betroffene nicht beeinflussen 
kann. Als typische Fälle von höherer 
Gewalt gelten landläufig Brand, Un- 
wetter, Erdbeben, Streiks, Unfälle, 
Krieg, Unruhen, Naturkatastrophen et 
cetera. In der englischen Vertragsspra- 
che werden häufig die anschaulichen 
Begriffe „Act of Nature“ oder „Act of 
God“ verwendet. 

Letztlich geht es also darum, wer 
für eine nicht vertragsgemäß erbrachte 
Leistung einzustehen hat. Dabei geht 
es häufig um viel Geld. Wenn eine 
unternehmenskritische IT-Anwendung 
für mehrere Stunden nicht zur Verfü- 
gung steht, kann dies bedeutende 
Schäden verursachen. Der Auftragge- 
ber oder Kunde eines Netzbetreibers 
wird sich dann die Frage stellen, ob er 
seinen TK-Anbieter für den Ausfall ei- 
ner Leitung und den Ersatz des da- 
durch verursachten Schadens heran- 
ziehen kann. Das kann er in den Fällen 
von „höherer Gewalt“ allerdings nicht. 
Denn es ist für den TK-Anbieter eben 
nicht beherrschbar und nicht vorher- 
sehbar, dass ein Schiff ein Seekabel 
durchtrennt. 

Oder vielleicht doch? Damit muss 
man doch rechnen, wenn man sich vor 
Augen hält, wie häufig solche Kabel- 
brüche vorkommen. Daher sind TK- 
Anbieter an sich auch verpflichtet, Re- 
dundanzen zu schaffen und alternative 
Routen für ihre Datenströme vorzuhal- 
ten. Das tun sie auch. Durch Abspra- 
chen mit Staaten stellen sie — wie im 
Fall der Seekabel nach Ägypten - si- 
cher, dass sich in der kritischen Zone 
des Übergangs des Kabels vom Meer 
in ein Land keine Schiffe aufhalten 
dürfen und treffen weitere wirksame 
Schutzmaßnahmen. All diese Vorkeh- 
rungen gab es im Fall der betroffenen 
Seekabel. Der Seekabel-Betreiber hat 
also mit „äußerster Sorgfalt“ gehan- 
delt, und deswegen kann ihm niemand 
den Bruch des Kabels vorwerfen. Für 
ihn war der zeitlich begrenzte Ausfall 
bestimmter Übertragungskapazitäten 
auf „höhere Gewalt“ zurückzuführen. 

Auch der Kunde muss sich — even- 
tuell nach entsprechendem Hinweis 
durch seinen TK-Anbieter — die Frage 
stellen, ob er für solche Fälle Backup- 
Möglichkeiten bereithalten muss. Denn 
es kann rechtlich auch nicht angehen, 
dass sich ein Kunde für die billigste 
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aller Lösungen entscheidet mit der 
Einstellung, dass im schlimmsten Fall 
ohnehin der TK-Anbieter für den 
Schaden einzustehen hat, wenn er ein- 
mal nicht „äußerste Sorgfalt“ walten 
ließ. TK-Anbieter sind letztlich keine 
Versicherungen, sondern „nur“ zur Er- 
füllung der vertraglich vereinbarten 
Leistung verpflichtet. Grundsätzlich 
versuchen sie auch, ihre Haftung für 
Fälle des Netzausfalls oder einer Stö- 
rung zu begrenzen oder ganz auszu- 
schließen. 

Im Einzelfall ist die Abgrenzung 
der Aufgaben und Verantwortlichkei- 
ten zwischen Kunde und Anbieter also 
schwierig. Daher gilt — wie so oft -— 
der Grundsatz: Wer schreibt, der 
bleibt. Wer in einem Vertrag die 
Grenzen der eigenen Verantwortung 
gerade für solche „Krisenfälle“ aus- 
führlich und eindeutig beschreibt, 
bleibt vor juristischem Ärger gefeit. 
Wichtig sind auch Regelungen über 
die Verfügbarkeit und etwaige Reak- 
tionen im Fall eines Netzausfalls. Soll 
der Anbieter zusätzliche Redundanzen 
aufbauen? Welche Eskalation soll er- 
folgen? Welche Anbindungen haben 
Vorrang vor anderen, wenn Kapazitä- 
ten nur eingeschränkt verfügbar sind? 


Höhere Gewalt 
hat ihre Grenzen 


Auch die Reichweite dessen, was als 
„höhere Gewalt“ gilt, sollte der Vertrag 
im Zweifel genau beschreiben. Sind 
Streiks selbst mit „äußerster Sorgfalt“ 
nicht zu vermeiden? Was, wenn es sich 
um eine rechtswidrige „Arbeitskampf- 
maßnahme‘“ des Arbeitgebers handelt, 
zum Beispiel eine Aussperrung, und 
deswegen bestimmte Dienstleistungen 
nicht mehr zur Verfügung stehen? 
Dann hat an sich der Arbeitgeber — der 
Dienstleister eines Kunden - die Un- 
möglichkeit der Leistungserbringung 
selbst herbeigeführt und kann sich 
nicht auf „höhere Gewalt“ berufen, 
auch wenn Arbeitskampfmaßnahmen 
landläufig dazu zählen. 

Die Grundsätze zur höheren Gewalt 
gelten für sämtliche vertraglichen An- 
sprüche. Bei Unterschreiten einer ver- 
traglich vereinbarten Dienstqualität 
(Service Level) aufgrund höherer Ge- 
walt sind Vertragsstrafen oder „Cre- 
dits“ in der Regel ausgeschlossen. Es 
sei denn, der Anbieter hat den Fehler 
gemacht, die Einhaltung bestimmter 
Performance-Kriterien zu garantieren. 
Dann hat er die Verantwortung dafür 


übernommen, dass die Leistung diesen 
Vorgaben entspricht — egal, ob er et- 
wa einen Netzausfall zu vertreten hat 
oder nicht. 

Für die Internetprovider bedeutete 
der Verlust von Leitungen im Mittel- 
meer und im Persischen Golf, dass die 
Westanbindung massiv gestört war und 
der Datenverkehr beispielsweise von 
dort einen Umweg über Ostasien, die 
Vereinigten Staaten und über den At- 
lantik nach Europa nehmen musste. 
Dies bremste zwangsläufig die Übertra- 
gung, aber immerhin ließ sich die Kom- 
munikation aufrechterhalten. Dieses 
Beispiel zeigt die Voraussicht der Tele- 
kommunikationsanbieter. Denn nur weil 
sie sich für solche Fälle Backup-Band- 
breite gesichert hatten, konnten sie 
schnell reagieren und eben diese Alter- 
nativen anbieten. Zudem zeigt dieses 
Beispiel, welche Einkaufsstrategie Un- 
ternehmen verfolgen müssen, die be- 
sonders auf Erreichbarkeit ihrer ausge- 
lagerten Systeme und Abteilungen 
angewiesen sind. Die Stichworte lauten 
„Redundanz“ und „Diversifikation“. 


Fazit 


Kommt es bei unternehmenskritischen 
Prozessen auf Leistungen von Dritten 
an, beispielsweise auf Netzwerk- oder 
Datenzentrumskapazität, dürfen die 
Vertragspartner nicht nur die typi- 
schen Themen wie Haftung, Service 
Level et cetera im Auge haben. Sie 
müssen sich mit allen möglichen Un- 
wägbarkeiten der Vertragserfüllung 
befassen. Dazu zählt auch, sich mit 
Fällen der „höheren Gewalt“ ausein- 
anderzusetzen. 

Sich hier ganz und gar auf die ge- 
setzlichen Vorschriften zu verlassen, 
reicht meist nicht aus. Denn sie be- 
schreiben nicht, welche Anstrengun- 
gen ein TK-Anbieter beispielsweise 
unternehmen muss, wenn ein kriti- 
sches Seekabel ausfällt. Wer voraus- 
schauend handelt und bei der Ver- 
tragsgestaltung aufpasst, schützt nicht 
nur das eigene Unternehmen, sondern 
auch seinen eigenen Arbeitsplatz. Wer 
grob fahrlässig das eigene Unterneh- 
men - also meist den Arbeitgeber — 
hohen Risiken aussetzt, kann wegen 
Verletzung des Arbeitsvertrages sogar 


den Job verlieren. (un) 
TOBIAS HAAR, LL.M., 
ist Rechtsanwalt mit Schwerpunkt 
IT-Recht. 
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REPORT 


Internet 


25 Jahre Domain Name System 


Nachschlagewerk 


Christian J. Dietrich 


Das Domain Name System 


bildet seit einem Vierteljahrhundert 

einen Grundbaustein des Internet. Seine ursprüngliche 
Aufgabe - die Zuordnung von Domänen und Host-Namen 
zu IP-Adressen - erfüllt das 1983 von Paul Mockapetris 
entworfene DNS bis heute, und einige darüber hinaus. 


ls vor 25 Jahren die RFCs 882 
AR“ 883 erschienen, waren längst 

nicht alle Aufgaben absehbar, 
die das DNS heute erledigt, etwa das 
Abfragen von IP-Adress-Blacklists über 
DNS zur Spam-Abwehr oder die Auf- 
lösung von Telefonnummern (ENUM). 
Nach wie vor ist jedoch die Namensauf- 
lösung seine wichtigste und unverzicht- 
bare Aufgabe. Ein längerer Ausfall des 
DNS hätte sicherlich einen großflächi- 
gen Zusammenbruch von Diensten im 
Internet zur Folge, denn wer kennt 
schon die IP-Adressen diverser Websei- 
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ten oder anderer Dienste im Internet 
auswendig? 

Bereits bevor DNS erfunden war, 
hatte es sich eingebürgert, anstelle der 
eindeutigen, aber für Menschen schwer 
erinnerbaren IP-Adressen Aliase, soge- 
nannte Host-Namen zu verwenden. Die 
„Übersetzung“ eines Host-Namens in 
eine IP-Adresse fand lokal auf jedem 
Computer mithilfe der Datei hosts statt, 
einer einfachen Liste. Das Domain 
Name System entstand in erster Linie 
aus der Notwendigkeit, diese manuell 
gepflegten Tabellen zur Namensauflö- 


sung auf allen ans Internet angeschlos- 
senen Computern durch ein verteiltes 
System abzulösen. Die Fehleranfällig- 
keit sowie die mangelnde Flexibilität der 
manuell gepflegten Dateien stieg mit der 
Zahl angeschlossener Computer. 

Das DNS war daher von vornherein 
als verteiltes System konzipiert, des- 
sen Datenbestand auf vielen verschie- 
denen zuständigen Servern lag. Der 
komplette DNS-Namensraum liegt al- 
so nicht an einer zentralen Stelle vor, 
sondern ergibt sich durch die Menge 
aller verteilten Domain-Datenbanken, 
die sogenannten Zonen. Auf dem für 
eine Domain verantwortlichen (,auto- 
ritativen“) Nameserver wird daher 

in der Regel nur die entsprechen- 

de Zone angepasst. Ein weiterer 
Vorteil dieses Mechanismus ist 
die erhöhte Ausfallsicherheit 
mittels Datenverteilung. 
Der DNS-Namensraum hat die 
mittlerweile in RFC 1034 definierte 
fest vorgegebene Struktur. Ein abso- 
luter Name gliedert sich in „Labels“, 
die durch Punkte voneinander getrennt 
sind. Die Wurzel des DNS bildet die 
„nameless root“. Korrekterweise müsste 
jeder DNS-Name mit einem Punkt en- 
den, doch nur sehr selten findet er sich 
am rechten Ende eines Domainnamens. 
In der Regel lässt man ihn einfach weg. 
Unterhalb der Wurzel befinden sich die 
„Top-Level-Domains“, kurz TLDs. Es 
gibt über 200 länderspezifische TLDs 
wie .de, fr oder .at und die generischen 
TLDs wie .com, .org oder .net. Die Ver- 
gabe von Sub-Domains innerhalb einer 
TLD geschieht sehr unterschiedlich. Die 
Registry Denic ist verantwortlich für 
die TLD .de und verlangt vom Inhaber 
einer .de-Domain einen Wohnsitz in 
Deutschland. 

Im Kontrast dazu vermarkten andere 
Nationen ihre TLD in der Hoffnung auf 
hohe Registrierungseinnahmen ohne 
derartige Restriktionen, etwa der Staat 
Tuvalu seine TLD .tv, die viele mit 
„Fernsehen“ assoziieren. Auch wenn 
kleine Inselstaaten im Internet sonst kei- 
nen allzu guten Ruf haben, nutzt manch 
eine Aktiengesellschaft die TLD .ag 
(von Antigua und Barbuda) für sich und 
mancher Radiosender .fm (für Mikrone- 
sien) in Anlehnung an das analoge Sen- 
deverfahren der Frequenzmodulation. 
Unterhalb der Top-Level-Domains be- 
finden sich Second-Level-Domains wie 
heise.de, darunter Third-Level-Domains 
wie www.heise.de und so weiter. 

Die Welt der Domainnamen ist im- 
mer wieder für Anekdoten und Kurio- 
sitäten gut. So geriet im August 2004 
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die Domain ebay.de vorübergehend in 
die Hände eines Dritten, sodass die 
Auktionsplattform für einige Internet- 
nutzer zeitweise scheinbar nicht erreich- 
bar war — zumindest eben nicht über 
diesen Namen. Auf ähnliche Weise er- 
eilte es google.de im Januar 2007. 
Neben technischen und organisatori- 
schen Pannen bieten Domains ein weit- 
läufiges Spielfeld für juristische Ausein- 
andersetzungen. Einer der aktuelleren 
Fälle ist der Streit zwischen dem Rohr- 
unternehmen Universal Tube mit der 
Domain utube.com und dem Videopor- 
tal youtube.com um die Namensähnlich- 
keit. Den Rohrkonzern ärgerte das un- 
erwünscht hohe Besuchsaufkommen 
durch Benutzer, die eigentlich das Vi- 
deoportal aufsuchen wollten. Darüber 
hinaus gibt und gab es zahlreiche Aus- 
einandersetzungen um Domains, die 
von mehreren Parteien gewünscht wa- 
ren, so zwischen der Schokoladenmarke 
Milka und einer französischen Schnei- 
derin Milka um die Domain milka fr. 


Des DNS-Rätsels 
Auflösung 


Wie der Namensraum selbst ist auch 
der tatsächliche Prozess des Auflösens 
auf mehrere Systeme verteilt, denen da- 
bei dreierlei Rollen zukommen — dem 
Anwender-PC in der Regel die des 
Clients. Der Rechner selbst führt keine 
DNS-Auflösung durch, sondern gibt 
die Aufgabe der Namensauflösung an 
einen „Resolver“ weiter. Der wiederum 
löst einen Namen im Zusammenspiel 
mit einem oder mehreren Nameservern 
auf. Wenn beispielsweise ein Browser 
eine Webseite vom Host www .internet- 
sicherheit.de abrufen möchte, formu- 
liert zunächst der Client eine Anfrage 
zur Namensauflösung an den Resolver. 
Der erfragt die entsprechende Antwort 
entweder iterativ oder rekursiv bei wei- 
teren Nameservern und leitet die Ant- 
wort - in diesem Fall die IP-Adresse 
194 .94.127.43 — an den Client zurück. 
Aufgrund der strikt hierarchischen 
Struktur des Namensraums ergibt sich 
häufig eine ähnliche Reihenfolge für 
die Abfrage. 

Den Startpunkt bei der Namensauf- 
lösung bildet häufig einer der 13 Root- 
Nameserver mit den Bezeichnungen A 
bis M. Sie sind weltweit verteilt und 
häufig besteht eine Instanz wiederum 
aus mehreren verteilten Rechnern. Sie 
enthalten in nur etwa 2500 Einträgen 
lediglich Verweise auf die Nameserver 
der Top-Level-Domains. Von hier aus 
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hangelt sich der Resolver im Auflöse- 
prozess bis zum aufzulösenden Namen 
Label für Label entlang. 


Wurzelbehandlung 


Die IP-Adressen der Root-Nameserver 
sind in der Regel fest in die DNS-Soft- 
ware einkodiert. Aus Perspektive der 
Sicherheit kommt den Root-Nameser- 
vern eine wichtige Rolle zu. Wer sie 
kapert oder die Auflösung auf andere 
Weise manipulieren kann, hat als An- 
greifer die Möglichkeit, Opfer gezielt 
auf andere Systeme zu leiten. Tatsäch- 
lich gab es einen solchen Fall im 
November 2007: Die IP-Adresse des 
L-Root-Nameservers änderte sich - ein 
zwar seltenes, aber umso gefährliche- 
res Phänomen. Die bis dahin gültige 
IP-Adresse ging in einen neuen Verant- 
wortungsbereich und damit auch auf ei- 
nen neuen Computer über. Nach einiger 
Zeit beantwortete der neue Computer 
wieder die noch immer eingehenden 
DNS-Anfragen. 

Viele DNS-Server-Betreiber hatten 
diesen Wechsel wohl gar nicht bemerkt 
und nutzten so monatelang einen fal- 
schen Root-Nameserver. Der neue 
Computer hätte mit Leichtigkeit mani- 
pulierte Antworten einspielen können, 
was aber anscheinend glücklicherweise 
nicht passiert ist. 


Schnell, unverbindlich 
und angreifbar 


Die Betreiber der Root-Nameserver 
sind sich der Bedrohung seit Langem 
bewusst und beobachten häufig gezielte 
Denial-of-Service-Angriffe, die einzel- 
ne Root-Nameserver manchmal un- 
erreichbar machten, etwa im Februar 
2007. Endanwender bemerken jedoch 
selten Auswirkungen solcher Angriffe. 
Die Root-Nameserver sind so ausge- 
legt, dass zwei Drittel von ihnen ausfal- 
len können, ohne dass die Namensauf- 
lösung darunter leidet — zumindest 
theoretisch. 

Nicht nur Root-Nameserver sind ein 
Ansatzpunkt für Angriffe durch DNS- 
Spoofing, sondern auch die Namens- 
auflösung im LAN oder gar auf dem 
Client. Zum Teil modifiziert Malware 
— darunter einige ZLOB-Varianten — 
die Namensauflösung auf dem infizier- 
ten Client und lockt das Opfer auf diese 
Weise unbemerkt auf eine schädliche 
Webseite, zum Beispiel zu Phishing- 
Zwecken. 


ER 


Besonders die Domainnamen auf der 
zweiten Ebene unterhalb der durch 
einen Punkt symbolisierten Wurzel 
(Second-Level-Domains) sind immer 
wieder Anlass für Streitigkeiten 
zwischen Internet-Anwendern. 


Das DNS-Protokoll baut in erster Li- 
nie auf dem User Datagram Protocol 
(UDP) auf, kommt also ohne zeit- und 
bandbreitenraubenden Verbindungsauf- 
bau aus. Einerseits ermöglicht das die 
Implementierung von Resolvern in res- 
sourcenarmen Umgebungen, die keinen 
vollständigen TCP-Stack erfordern, son- 
dern lediglich IP und UDP. Andererseits 
bietet es weitere Angriffsflächen - in 
erster Linie wegen der Tatsache, dass 
auf eine kleine DNS-Anfrage mitunter 
große Antworten erfolgen („Amplifica- 
tion Attack“). Auf diese Weise können 
Angreifer den Datenverkehr im Rahmen 
eines Denial-of-Service-Angriffs um 
den Faktor 30 bis 50 verstärken. Fälscht 
man überdies die Absender-IP-Adresse, 
gelangen die großen Antwortpakete di- 
rekt zum Angriffsziel, ohne dass der tat- 
sächliche Ursprung des Angriffs in Er- 
scheinung tritt. Diese Technik kam 
bereits im Februar 2006 für einen An- 
griff auf Root-Nameserver zum Einsatz. 

Weitere Angriffe auf DNS bestehen 
beispielsweise darin, gefälschte DNS- 
Antworten zu versenden, die den Cache 
eines DNS-Servers „vergiften“ (Cache 
Poisoning). Trotz der Vielfalt denkba- 
rer Angriffe beweist das Domain Name 
System auf respektable Weise bis heute 
eine enorme Stabilität und skaliert trotz 
des enormen Internet-Wachstums rei- 
bungslos — vielleicht einer der Gründe 
dafür, dass sich Ansätze wie DNSSec, 
die die Sicherheit erhöhen sollen, noch 
nicht durchsetzen konnten. Bleibt an 
dieser Stelle nur eines zu sagen: Herz- 
lichen Glückwunsch, DNS - und alles 
Gute für die Zukunft. (un) 


CHRISTIAN |. DIETRICH 


ist Mitarbeiter des Instituts für Internet- 
Sicherheit an der FH Gelsenkirchen und 
für den Forschungsbereich E-Mail- 
Sicherheit verantwortlich. 
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Grüne IT 


Strategien für ein energieeffizientes Data Center 


Haushalten 


Jana Behr 


Auch wenn Green IT in der letzten Zeit zum Buzzword 
avancierte, ist es dennoch eines der bedeutenden IT-Themen der 
nächsten Jahre. Insbesondere für den Rechenzentrumsbetrieb 
lohnt es sich, über grüne Strategien nachzudenken. Einige 
Hersteller von Rechenzentrumskomponenten haben das auch 
schon getan - ein Überblick. 
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ie Zahlen sind eindeutig: Rund 
D 25 % des IT-Energiebedarfs ge- 

hen auf das Konto von Rechen- 
zentren — Tendenz steigend. Das ergab 
eine Analyse des IT-Marktforschungs- 
und Beratungsunternehmens Gartner. 
Nach der Studie „Zukunftsmarkt ener- 
gieeffiziente Rechenzentren“ des Bor- 
derstep-Instituts im Auftrag des BMU 
hat sich der Energiebedarf deutscher 
Rechenzentren zwischen 2000 und 
2006 auf rund 8,7 Milliarden Kilowatt- 
stunden mehr als verdoppelt, die 
Stromkosten haben sich aufgrund der 
gestiegenen Energiepreise sogar mehr 
als verdreifacht [1]. 

Dadurch bleibt für viele Rechenzen- 
tren der Energieverbrauch auch in den 
kommenden fünf Jahren einer der größ- 
ten Kostenfaktoren, vor allem vor dem 
Hintergrund einer ständig steigenden 
Rechenleistung. 2010 sollen die Strom- 
kosten laut der Branchenanalysten sogar 
bis zu 50 % des IT-Budgets ausmachen. 
Das Fraunhofer-Institut für System- und 
Innovationsforschung (ISI) erwartet in 
einer Studie von 2005 im Server-Be- 
reich für den Zeitraum von 2001 bis 
2010 eine Verdopplung des Stromver- 
brauchs [2]. Mit dieser steigenden Ten- 
denz bewegt sich die IT-Branche, im 
Vergleich zu anderen, gegen den Trend. 

Auch wenn der Klimaschutz das 
hehre Ziel beim Energiesparen ist, ha- 
ben grüne Ansätze nur deshalb eine 
Chance, weil sie auch die Kasse der 
Unternehmen schonen. Allerdings gibt 
es tatsächlich so etwas wie ein Ökolo- 
gisch verträgliches Energiefenster. Das 
Schweizer Center for Energy Policy 
and Economics (CEPE) setzt dieses bei 
rund 17 500 kWbh/Kopf im Jahr an [3]. 
Nahezu alle Industriestaaten liegen 
deutlich über diesem Wert, die USA 
und Kanada bei etwa dem Fünffachen 
und Deutschland bei etwa dem Doppel- 
ten. Einsparungen sind daher dringend 
geboten. Ein weiterer Grund zwingt ei- 
nige Rechenzentren zur Umkehr in Sa- 
chen Energieverbrauch: Wenn die Lei- 
tungskapazität an ihre Grenze geraten 
ist, können die Energieversorger vie- 
lerorts keinen Ausbau gewährleisten. 
Deshalb bedeutet das Energiemanage- 
ment für Betreiber und Hersteller von 
Rechenzentren heute eine ökonomi- 
sche, technische und ökologische Her- 
ausforderung. 

Bevor man jedoch die Infrastruktur 
in Rechenzentren optimieren kann, 
steht man derzeit vor einer ganz ande- 
ren Hürde. So kennen nach einer ak- 
tuellen Umfrage der Marktforscher 
von Experton nur 7 % der deutschen 
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IT-Entscheider den Energiebedarf der 
eigenen IT. 

Aber: Was man nicht messen kann, 
kann man auch nicht verbessern. Hier 
besteht großer Nachholbedarf. Der 
Grund dafür ist, dass in vielen IT-Bud- 
gets zwar die Etats für die Planung, 
Anschaffung und das Management der 
IT berücksichtigt sind, nicht aber die 
Energiekosten. Diese werden oftmals 
als allgemeiner Posten über das Facili- 
ty-Management abgerechnet. Deshalb 
empfiehlt es sich, die Verantwortung 
für den Energieverbrauch der IT-Syste- 
me dorthin zu legen, wo die Entschei- 
dungen fallen: in die IT-Abteilung. 
Doch selbst wenn sie, etwa weil als ei- 
genständige Tochter ausgegliedert, ih- 
ren Gesamtstromverbrauch kennt, sind 
die unnötigen Stromfresser noch längst 
nicht enttarnt. 


Messen macht 
sich bezahlt 


Manchmal reicht es, den Energiebedarf 
eines Rechenzentrums zu messen, um 
Potenziale zur Senkung des Verbrauchs 
und der Kosten aufzudecken. Zudem 
wirkt sich die Einbeziehung des Ener- 
gieverbrauchs bei der Ausstattung eines 
Rechenzentrums auch auf Investitions- 
entscheidungen aus. Dadurch lässt sich 
beispielsweise einfacher darstellen, dass 
sich eine etwas höhere Investition in 
eine energieeffiziente Kühlung schon 
nach wenigen Monaten rentiert. 

Für die Energieeffizienz eines Re- 
chenzentrums gibt es eine Reihe von 
Kennzahlen (siehe Kasten „Kennzahlen 
zur Energieeffizienz“). Mit entspre- 
chender Softwareunterstützung können 
diese Kennzahlen auch laufend berech- 
net und überwacht werden, um so wei- 
tere Potenziale zur Steigerung der 
Energieeffizienz zu erschließen. 

Die Messungen von Energiever- 
brauch und Temperatur im Rechen- 
zentrum können aber noch viel weiter 


gehen: Moderne Systeme ermöglichen 
es, detailliert den Energieverbrauch 
und die Temperaturverteilung im Re- 
chenzentrum zu erfassen und zu visua- 
lisieren. Mit aktuellen Auditing-Me- 
thoden kann man anschaulich und in 
Echtzeit auf allen Ebenen den Ener- 
gieverbrauch eines Rechenzentrums 
im Auge behalten — bis hinunter zu 
den einzelnen Komponenten. 

Auch die Temperatur lässt sich zum 
Beispiel mit Infrarotkameras aufneh- 
men. Neben Momentaufnahmen sind 
aber kontinuierliche und flächendecken- 
de Messungen sowie die Darstellung 
der historischen Entwicklung für das 
dauerhaft sichere und effizienzorien- 
tierte Betriebsmanagement erforderlich. 
Auf diesen Ergebnissen aufbauend las- 
sen sich dann entsprechende Strategien 
entwickeln. 

Die beschriebenen Entwicklungen 
führen zu großen Herausforderungen 
für Unternehmen bei der Planung und 
beim Betrieb ihrer Rechenzentren. Die 
Leistungsdichten dort haben sich in den 
letzten Jahren stark erhöht. Allein der 
durchschnittliche Pro-Rack-Energiever- 
brauch hat sich in den letzten drei Jah- 
ren verdreifacht. Rechenzentren mit ei- 
nem Leistungsbedarf von 2500 Watt 
pro Quadratmeter und mehr sind keine 
Seltenheit. 


Handeln ist gefordert 


Fakt ist: Im Schnitt verbraucht die ei- 
gentliche IT nur die Hälfte der Energie 
eines Rechenzentrums. Die andere 
Hälfte benötigt die Infrastruktur wie 
Klimatisierung und unterbrechungs- 
freie Stromversorgung. Mit modernen 
Systemen lässt sich der Energiebedarf 
deutlich senken. Die Lösungsansätze 
der einzelnen Akteure sind recht unter- 
schiedlich (siehe Kasten „Green-IT- 
Projekte der Big Five“). Neben ande- 
ren Maßnahmen wie Gebäude-Design, 
Green (Out)-Sourcing und der Nutzung 


optimieren kann. 


A-TRACT 


@ Mit steigendem Stromverbrauch bewegt sich die IT-Branche nach allen Prognosen 
auch in den nächsten Jahren gegen den allgemeinen Trend. 


© Da in vielen IT-Budgets die Energiekosten nicht berücksichtigt sind, haben IT- 
Abteilungsleiter oft keinen Überblick über den Stromverbrauch und dessen Vertei- 
lung. Den benötigt man aber, bevor man die Infrastruktur im Rechenzentrum 


© Als in vielen Umgebungen geeignete Energiesparmaßnahmen kristallisieren sich 
zwei heraus: die Server-Konsolidierung und energieeffiziente Kühllösungen. 
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Green Grid (USA): 

PUE (Power Usage Effectiveness]: 

Quotient aus Gesamt-Energieverbrauch und 
Energieverbrauch (nur) des IT-relevanten Inhaltes 
DCE (Data Center Efficiency]: 

Quotient aus Energieverbrauch des IT-relevanten 
Inhalts und Gesamt-Energieverbrauch (= 1/PUE) 
IEP (IT Equipment Power]: 

Verbrauch der Energie von IT-Verarbeitung, 
Speicherung und Verteilung plus Management 
TFP (Total Facility Power): 
Gesamt-Energieverbrauch inkl. der Energie von 
Klima (Kühlung), Stromlieferung, Überwachung, 
Beleuchtung etc. 

Uptime-Instituts [USA]: 

SI-EER (Site Infrastructure-Energy 

Efficiency Ratio]: 

Verhältnis des Gesamtenergieverbrauchs zur 
Energie nur für die IT 

IT-PEW (IT Productivity per Embedded Watt]: 
Wert, der die IT-Produktivität (Transaktionen, 
Speichermenge, Rechenzyklen) ins Verhältnis 
zur dafür benötigten Leistung setzt. 

DC-EEP: 

Produkt aus SI-EER und IT-PEW 
Beispielrechnung PUE: 

Beispiel: PUE = 2,5 

1 kW Leistung für IT 

= 2,5 kW Leistungsaufnahme gesamt 

= 1,5 kW Overhead 

Kalb RUE 1,2) = 11,7 


erneuerbarer Energien kristallisieren 
sich zwei heraus: die Server-Konsoli- 
dierung durch Virtualisierung und ener- 
gieeffiziente Kühllösungen. 

Weithin bekannt ist, dass die durch- 
schnittliche Serverauslastung nur 15 
bis 30 % beträgt. Begründet hat man 
das bislang mit einer optimalen Per- 
formance während Lastspitzen und der 
nötigen Kapazität für den zukünftigen 
Ausbau. Außerdem soll das mögliche 
negative Auswirkungen im Fehlerfall 
begrenzen. Trotz nachvollziehbarer 
Motive lässt sich der signifikante Ein- 
fluss auf die Umwelt als Folge von 
ungenutzten Serverkapazitäten nicht 
von der Hand weisen. 

Das Ergebnis ist eine teure und 
komplexe Hochverfügbarkeit mit unge- 
nutzten und passiven Servern. Letztlich 
wird dieses Negativkonto noch um ho- 
he operationale IT-Kosten, die Not- 
wendigkeit individueller Backup-Jobs 
sowohl im Management als auch in 
puncto Lizenzen, dem Bedarf an Anti- 
Viren-Scans auf jedem Server, hohen 
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REPORT 


Grüne IT 


Rechenzentrum 
181, Karlsruhe 


Claranet 


Centron 


Host Europe 


Hostway 


Interoute 


IP-Exchange 


Strato 


Aufgaben 

Webhosting, Dedicated Hosting, Virtual 
Dedicated Hosting, E-Mail-Services 
(einschließlich GMX und Web.de), 
interne Systeme 


Colocation, Dedicated Server, 

Managed LAMP-Server, 

Managed Application Hosting 

Managed Server (Windows Server 2003/2008, 
Red Hat Enterprise & Debian Linux), 

Managed Cluster, Managed Storage, 

Managed Fail-Over & Load Balanced Solutions, 
Managed Streaming Solutions, 

Managed Data Center, Outsourcing & ASP, 
Software as a Service (SaaS), Housing, 
Colocation, E-Mail Hosting, Exchange Hosting, 
CRM Hosting, Webhosting, Managed Services 
(Microsoft Dynamics CRM 4.0, Sharepoint, 
Exchange 2003/2007, SQL 2005/2008, 
Monitoring Service, Total Performance 
Management, Backup und Disaster Recovery, 
Remote Hands Services, Installationsservice 
und -Support, Rapid Response 

interne Systeme und Kunden-Systeme 


Server Colocation, 24/7 Managed Services 


Managed Hosting, Virtual Hosting, 
Colocation, Datenbank-Management, Security, 
Netzwerkanbindung, Remote Hands Services 


Datentransport, RZ-Betrieb, IP-basierte 
Dienste 


Webhosting, Serverdienstleistungen, 
Onlineshops, DSL-Anbieter 


Größe 
2000 m?, 11 Rechnerräume 


2000 m? verteilt auf 3 Rechenzentren 
(Frankfurt am Main, 600 m?, 

München 250 m?, Berlin 150 m?) 

über 1000 m? verteilt auf 3 RZ-Standorte 
(1 x Frankfurt am Main, 

2 x Nürnberg) 


bis zu 1700 m? nutzbare 
Rechenzentrumsfläche; 18.000 Server 


3200 m? 


1100 m? 


2 Rechenzentren in München und 
Nürnberg), zusammen 8000 Server 
auf 1800 m? 


2 Rechenzentren (Karlsruhe, Berlin), 
insgesamt circa 4500 m? 


IT-Equipment 

99 % Linux-Server, insgesamt 25 000; 
Dedicated Server werden speziell nach 
Anforderungen von 181 gebaut. 
80+-Netzteile, 

auf unnötige Rechnerkomponenten wird 
verzichtet 


Cisco, Juniper, F5, Dell, HP 


HP-Server, Supermicro-Server, 
Cisco only Networking, F5 Load Balancing, 
Rittal-Racksysteme 


Dell, Sun, Juniper, Cisco 


19-Zoll-Racks; 

redundantes Routing-Equipment; 

Juniper, Foundry, Cisco, 

zentrales Pillar-Date-Storage-System et cetera 
HP, F5, EMC, Netapp, Cisco, Juniper, 
Checkpoint, Sun 


Racks: Standard, Deluxe „Airtlow“, High 
Cooling 


Shared Hosting Plattform: Sun T2000 
und T5220-Server, NetApp FAS 6070 
Massenspeicherplattform; 

Dedicated Hosting u.a. mit 
Quad-Core-AMD-Opteron-HE-Prozessoren, 
750-GB-Festplatten im RAIDI-Modus 


Kühlsystem 

8 Kompressions- und 3 Freikühler auf dem 
Dach; ab circa 10 °C Außentemperatur 
unterstützen Freikühler das System (einer 
der 8 Kompressionskühler als Redundanz); 
gesamte Kälteleistung circa 4,5 MW; kalte 
Luft wird durch Doppelboden direkt in die 
Racks geblasen 


n+1-Klimatisierung von Stulz 


redundante 8,4 MVA Stromversorgung 
der Klimaanlagen, sensible Downflow- 
Klimakontrolleinheiten (redundant), 

zwei gespiegelte Klima-Kühlwassersysteme 
(redundant), Lufttemperatur 21 °C, 
relative Luftfeuchte 50 % 


Stulz-Klimageräte mit der Möglichkeit 
der freien Kühlung; 
durchgehend n+1-Redundanz 


Kaltwassersätze 


24/7 Kontrolle von Raumtemperatur 

(22 °C, +/-2 °C) und Luftfeuchtigkeit 
(50% 1F, +/10 %); 

die Klimatisierungsleistung ist größer als 

1 kW pro qm; 

die Kühlung erfolgt durch den Doppelboden; 
alle Anlagen sind ebenfalls in n+1-Redundanz 
ausgelegt 

Cold-Corridor-System, das auf dem Prinzip 
der kompletten Trennung von warmem und 
kaltem Luftstrom basiert 


mehrere redundante Kühlgeneratorenblöcke 
pro Serverraum; optimiertes Luftaustausch- 
management, u.a. mit abgeschlossenen kalten 
und warmen Gängen; freie Kühlung bei 
Temperaturen bis 8 °C 


Wartungsausfallzeiten, zum Beispiel 
bei einem Servertausch, und individu- 
ellen Patch-Services angefüllt. 

Hier kann Virtualisierung helfen, 
die IT-Hardware effizienter einzuset- 
zen. Dabei unterteilt man einen physi- 
schen Server in mehrere virtuelle, auf 
denen eigenständige Betriebssysteme 
unabhängig voneinander booten. Da- 
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durch lässt sich die Serveranzahl sig- 
nifikant reduzieren und die Auslastung 
bestehender Server auf bis zu 65 % 
steigern. 

Zu beachten ist allerdings, dass man 
nicht jedes System konsolidieren kann. 
Deshalb ist eine gründliche Planung und 
Messung vorab unabdingbar. Insgesamt 
beträgt das Reduktionspotenzial der 


deutschen Unternehmens-IT durch Vir- 
tualisierung laut einer Studie von AT- 
Kearney schätzungsweise etwa 5 Mio. 
Tonnen CO; respektive 1 Mrd. Euro [4]. 

Mit einem gut durchdachten Kühl- 
konzept kann man den benötigten Strom 
effizient einsetzen. Dabei gibt es unter- 
schiedliche Ansätze. Man unterscheidet 
zwischen Raum-, Reihen- und Rackküh- 
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Virtualisierung 

Im Shared Hosting wird eine speziell selbst 
optimierte Linux-Distribution eingesetzt, 

mit der die Daten von bis zu 10 000 Kunden 
auf einem Server verwaltet werden können. 
Aktuell sind in Karlsruhe rund 500 dieser 
Server im Einsatz. 

Seit Anfang 2006 werden virtuelle Server 
angeboten, auf denen sich ebenfalls mehrere 
Kunden befinden (bis zu 28 je nach Server-Iyp 
und Ausstattung). 

VMware ESX Cluster 


Windows Virtual Server, Parallels Virtuozzo & 
VMware Virtualisierungs-Lösungen 


USV 

dynamische USV, 5 x 1100 kVA 
(davon 1 Block Redundanz); 
Verlustleistung etwa 7 % 


n+]-edundante USV-Anlage von APC 


4 x 2000 kVA Notstromgenerator, 


redundant gespiegeltes Notstramsystem (8,4 MVA), 


unterbrechungsfreie Stromversorgung (AC, DC) 


Abwärmenutzung 
derzeit keine, da im RZ Brauerstraße 
bautechnisch zu aufwendig 


Sonstiges 


hochsensible Brandfrühesterkennungs- und 
Meldesysteme, modernes Brandbekämpfungs- 
system (Foctec Nebeldüsen), 


in n+] bzw. 2n-Konfiguration, 


Batteriepufferung 


Partiell kommen Containervirtualisierung, 
Betriebssystemvirtualisierung und 
Paravirtualisierung zum Einsatz. 


n+]-Redundanz; 


mit bis zu 6 MVA 
Virtuozzo, VMware, Xen 


VMware, XEN, Hyper-V 
(3x 400 kW), 
n+] redundant; 


APCAnlagen mit externen Batterieblöcken, 


RZweite Batteriepufferung; 
4 dieselgetriebene Notstromgeneratoren 


dieselbetriebene Notstramgeneratoren 


geheizt. 


dieselgetriebene Notstromgeneratoren - 


Dieselkraftstoff-Bevorratung von 12 000 Litern 
(entspricht einer autarken Versorgung von 
mindestens 72 Stunden) 


v (mit Green ClO-Award ausgezeichnet) 


mehrere Transformatorstationen mit - 


redundanter Zuführung der Versorger, 
nachgeschaltet diverse n+1-USV-Anlagen mit 
zusätzlicher Nofstromspeisung aus 


Dieselaggregaten; 


Infrastruktur gemäß Tier-Ill,/Tier-IV-Kategorie D; 
Geräte mit 2 Netzteilen 
(ohne doppelten Stromverbrauch) 


Shared Hosting: dynamische Lastkonfiguration AEG SVS Protect 4 
der Plattform (freie Ressourcen können 

sowohl der Web-, als auch der Mail- und der 

Datenbankfarm zugeordnet werden) sowie 

reziproke Virtualisierung; 

Dedicated Hosting: virtuelle Server für 

Privatkunden, maximal 10 Kunden pro System, 


Virtualisierungssoftware Virtuozzo von SWsoft 


VESDA-Rauchfrühwarnsystem und getrenntes 
Rauchmeldesystem, vibrationsfreie Umgebung; 
CCTV-System und 24-Stunden-365-Tage- 
Videoaufzeichnung; 
PACSicherheitskarten-Zutrittskontrollsystem, 
Zugangs-Schleuse mit visueller Verifizierung, 
Personenvereinzelungsanlagen in Kombination 
mit biometrischen Zugangssystemen, 
Einbruchmeldeanlage 


Nutzung der Abwärme durch Wärmepumpen - 
für die Heizung der gesamten Büroetage 


Über Wärmerückgewinnung werden eigene - 
sowie die umliegenden Gewerbeflächen 


Stromzähler, die auf jedem Rack installiert 
werden können; Einsatz regenerativer 
Energiequellen 


detailliertes und kontinuierliches 
Monitoring des Energieverbrauchs durch 
Sensoren in allen Bereichen der Rechen- 
zentren; Betrieb der Rechenzentren mit 
Regenerativstrom aus Laufwasserkraft 
(NaturEnergie AG) 


lung. Wenn eine Modernisierung der In- 
frastruktur ansteht, haben sich einerseits 
Rackkühlungen für einzelne „Hitze- 
schleudern“ und andererseits sogenannte 
Kaltgang/Warmgang-Anordnungen für 
viele Stromfresser besonders bewährt. 
Eine Optimierung bringt eine Kaltgang- 
beziehungsweise eine Warmgangein- 
schottung, bei der der Gang komplett 
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geschlossen ist. So vermischt sich die 
kalte Luft nicht mit der warmen. 

Einen ähnlichen Effekt haben mo- 
derne Doppelboden-Umluftsysteme, 
bei denen Ventilatoren im Boden inte- 
griert sind, die die Kaltluft gezielt in 
einzelne Racks blasen. Auch eine sau- 
bere Abdichtung, etwa mit Bürsten- 
systemen, gewährleistet eine bessere 


Energienutzung. Außerdem empfiehlt 
sich der Einsatz von Aggregaten mit hö- 
herem Wirkungsgrad und eine Erhö- 
hung der Rechenzentrumstemperatur, 
denn Rechenzentren können durchaus 
bei Temperaturen von bis zu 26 °C lau- 
fen — manche Experten sprechen heute 
sogar von 30 °C. Allerdings haben For- 
schungen von IBM in Zusammenarbeit 
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REPORT 


Grüne IT 


Green-IT-Projekte der Big Five 


Alle Anbieter von Rechenzentrums- 
komponenten springen derzeit auf den 
„Green-IT-Zug“ auf —- zum einen auf- 
grund des tatsächlich vorhandenen 
Handlungsbedarfs, aber auch wegen des 
nicht von der Hand zu weisenden Ver- 
kaufsarguments der massiven Kostenein- 
sparung. Dabei gehen die „Big Five“, 
die als einzige Anbieter die komplette 
Rechenzentrumsausstattung inklusive 
Netzwerk, Server und Storage im Pro- 
gramm haben, als gute Vorbilder voran 
und haben ihre bis zu über hundert Re- 
chenzentren auf eine einstellige Anzahl 
reduziert. 


IBM - Projekt „Emissionsfreies 
Rechenzentrum” 


Mit umfassenden Konsolidierungsmaß- 
nahmen hat beispielsweise IBM im Rah- 
men des Projekts „Big Green“ bis zu 
80 % der eigenen RZ-Kosten gesenkt 
und spart dadurch den Strombedarf einer 
Kleinstadt. 


Zukunftsweisendes Projekt von IBM ist 
allerdings das „Emissionsfreie Rechen- 
zentrum“, das Forscher des Züricher 
Forschungszentrums auf der Cebit 2008 
erstmals vorgestellt haben. Im Mittel- 
punkt steht dabei die Energiewiederver- 
wendung. Die Entwickler setzen auf ein 
neuartiges Wasserkühlsystem, das über 
Mikrotechnik-Kühler direkt auf den 
Chip geht. Die Herausforderung: Um 
Abwärme effizient nutzen zu können, 
muss die Schwellentemperatur bei un- 
gefähr 50 °C liegen. Die erreichen sie 
durch 45 °C warmes Vorlaufwasser. 


Noch ist das Projekt des emissions- 
freien Rechenzentrums nicht in Serie 
gegangen. Das IBM-Labor allerdings 
nutzt es selbst erfolgreich. Ein weiteres 
aktuelles Forschungsobjekt ist die Was- 
serkühlung von 3-D-Chips, womit sich 
ganz neue Perspektiven für die Ent- 
wicklung hochperformanter Chips er- 
geben. 


Hewlett-Packard - 
Energie-Management-System 


Eine der jüngsten Entwicklungen aus 
den HP-Labs ist Dynamic Smart Cooling 
(DSC), eine Energie-Management-Lö- 
sung für deutliche Einsparungen bei der 
Kühlung von Server-Räumen und Re- 
chenzentren. Sie basiert auf einer Soft- 
ware in einem Kontrollknoten, der die 
Leistung der Klimaanlage kontinuierlich 
an den tatsächlichen Bedarf anpasst. 
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Hierzu erfasst das System mit einem 
Netz von Sensoren an den Racks die ak- 
tuellen Lufttemperaturen in Echtzeit. 
Dynamic Smart Cooling kann dadurch 
dort kühlen, wo es tatsächlich notwendig 
ist. So sollen sich der Stromverbrauch 
und die Kosten für die Kühlung um 45 % 
senken lassen. 


Sun - Pionier auch 
für „grüne” Prozessoren 


Als Sun 2005 den Ultrasparc Tl Pro- 
zessor unter dem Codenamen Niagara 
vorstellte, war von Green IT noch nicht 
die Rede. Geschweige denn, dass je- 
mand die Bedeutung, die grüne IT-Stra- 
tegien einnehmen würden, absehen 
konnte. Der Gedanke hinter dem bis 
heute einzigartigen Prozessordesign: Je 
mehr Auslastung, desto besser die Effi- 
zienz. Also baut Sun Prozessoren, die 
viele Arbeitsschritte gleichzeitig aus- 
führen können und auf bestimmte An- 
wendungen spezialisiert sind. Beim 
Ultrasparc Tl, der das Multi Threading 
unterstützt, können acht Prozessorkerne 
mit jeweils vier Threads 32 Aufgaben 
quasi gleichzeitig ausführen. 


Den aktuellen Ultrasparc T2 (Niagara 2) 
bezeichnet Sun inzwischen als „ersten 
Server auf einem Chip“. Er besitzt neben 
nunmehr acht Kernen mit je eigenen 
Floating Point Units und acht Threads pro 
Kern zusätzliche Krypto- und 10-GBit- 
Ethernet-Engines. Mit den 64 quasi-paral- 
lelen Prozessen erreicht Sun mehr als 
durch eine Erhöhung der Taktrate oder 
eine Cache-Vergrößerung. Der Sun-Pro- 
zessor ist mit maximal 1,4 GHz getaktet. 


Fujitsu Siemens Computers - 
Dreistufenkonzept für alle 


Fujitsu Siemens Computers hat für die 
Senkung der Energiekosten in Rechen- 
zentren ein Dreistufenkonzept entwi- 
ckelt, das allen seinen energieeffizien- 
ten Produkten zugrunde liegt. Es lässt 
sich zur Orientierung bei der Energie- 
effizienzoptimierung des eigenen Re- 
chenzentrums nutzen: 


Erstens lässt sich der Stromverbrauch re- 
duzieren, indem man durch verbesserte 
Chips und Herstellungsprozesse den 
Energiebedarf von Prozessoren und VO- 
Chips senkt, die Rechenleistung pro 
Watt Leistungsaufnahme sowie den Wir- 
kungsgrad von Server-Stromversorgun- 
gen erhöht. 


Zweitens kann man die Rechenzentrums- 
infrastruktur optimieren durch die Ver- 
besserung der Kühlkonzepte und der 
Energieinfrastruktur sowie die Energie- 
wiedergewinnung im Rechenzentrum. 


Drittens kann man die Auslastung vor- 
handener Ressourcen erhöhen durch Kon- 
solidierung — es werden weniger und leis- 
tungsfähigere Systeme eingesetzt —, durch 
die verbesserte Auslastung von IT-Syste- 
men per Virtualisierung, durch die flexi- 
ble Steuerung des Energieverbrauchs 
mithilfe dynamischer IT-Lösungen und 
durch die Bestimmung des richtigen 
Gleichgewichts zwischen Energieauf- 
wand und optimaler Server-Performance. 


Vor allem die Verwendung virtueller 
Maschinen soll bestehende Rechnerka- 
pazitäten optimal nutzen. Auf diese 
Weise lässt sich ein Wirkungsgrad von 
fast 100 % der eingesetzten Energie er- 
reichen. Zudem setzt FSC auf Systeme 
für das automatische Abschalten der 
nicht verwendeten Hardware — in Kom- 
bination mit einer Reduzierung des 
CPU-Taktes und der /O-Bandbreite, der 
Vermeidung von Spitzen im Lastprofil 
und der Reduzierung der Kühlungs- und 
Energieinfrastruktur im Rechenzentrum. 


Dell - ganzheitlicher 
Energieeffizienz-Service 


Dell versteckt sich hinter seiner Energy- 
Smart-Lösung: den Poweredge-Servern, 
kombiniert mit der Kühltechnik Liebert 
XD und dem Kühlsystem Liebert High 
Precision Air Conditioning von Emerson 
Network Power. Die Kombination soll 
den Stromverbrauch gegenüber Power- 
edge-Vorgängermodellen um bis zu 
42 % reduzieren, bei einer gleichzeitigen 
Steigerung der Systemperformance um 
bis zu 80 %. 


Darüber hinaus hat Dell neue Energy- 
Smart-Services entwickelt, mit denen 
Unternehmen in der Lage sind, Kühl- 
Ineffizienzen aufzuspüren, Rechenzen- 
trums-Infrastrukturen und Systemkapazitä- 
ten zu evaluieren, die Rechenkapazitäten 
zu optimieren und den Energieverbrauch 
zu reduzieren. Außerdem stellt Dell für 
Vorher-Nachher-Schätzungen Energie- 
kalkulatoren zur Verfügung, sogenannte 
Datacenter Capacity Planner sowie 
Whitepaper und erstellt im Rahmen von 
Datacenter Environmental Assessments 
vor Ort beim Kunden Bestandsaufnah- 
men zu Energieverbrauch und vorhande- 
ner Infrastruktur. 
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mit der DEKA und dem TÜV erge- 
ben, dass es ein Optimum des Verhält- 
nisses zwischen Raum- und Server- 
temperatur gibt, bei der ein Server 
selbst seine Betriebstemperatur nach- 
regeln kann. 


Gar nicht neu - Wasser 
und Brennstoffzellen 


Bauliche Veränderungen sind oftmals 
nötig, wenn man zudem die Außenluft 
zur Kühlung einsetzen will oder die 
Zweitverwertung der Abwärme für die 
Gebäudeheizung anstrebt. Noch eins ist 
wichtig: Ein Generalrezept für ein grü- 
nes Rechenzentrum gibt es nicht. Es 
spielen immer die zugrunde liegenden 
Bedingungen des RZ-Umfelds eine Rol- 
le. So kann man dort mehr Energie spa- 
ren, wo sich das Data Center in einem 
Keller befindet, die Außentemperaturen 
aufgrund des Klimas niedriger sind 
oder, wie bei BMW, kaltes Wasser di- 
rekt aus einem Brunnen für die Kühlung 
zur Verfügung steht. 

Letztlich spielt in Zukunft auch die 
Frage eine entscheidende Rolle, ob 
man von der derzeit vorherrschenden 
Luftkühlung wieder auf Wasserküh- 
lung umstellen sollte, da Wasser Wär- 
me 4000-mal besser abführen kann. In 
diesem Punkt allerdings scheiden sich 
bei den Herstellern noch die Geister. 
Dell zum Beispiel bietet Systeme an, 
die völlig ohne Klimaanlage auskom- 
men und nur auf Lüftung oder auf ein- 
fach konstruierte, aber zugleich hoch- 
effiziente Verdunstung setzen. 

Für die unterbrechungsfreie Strom- 
versorgung (USV) sehen einige ein 
großes Zukunftspotenzial in der Brenn- 
stoffzelle. Lange Autonomiezeiten, Ska- 
lierbarkeit, keine Schadstoffe und ge- 
ringer Wartungsaufwand sind ihre 
Vorteile. Außerdem sind die Überbrü- 
ckungszeiträume flexibel planbar. 
Hinzu kommt, dass Brennstoffzellen 
umweltfreundlich sind, da als Neben- 
produkte lediglich Wärme und Wasser 
entstehen. So sorgt die Brennstoffzelle 
als USV für eine autarke, umwelt- 
freundliche und wirtschaftliche Ener- 
gieversorgung. Allerdings ist die Tech- 
nik neu und trifft auf Vorbehalte am 
Markt. Es geht aber weniger darum, be- 
stehende USV-Systeme zu ersetzen, als 
die Brennstoffzelle bei einer Neupla- 
nung überhaupt ins Kalkül zu ziehen. 
Zudem gibt es mittlerweile sehr effi- 
ziente Kombinationen aus Brennstoff- 
zelle und regenerativen Energien, wie 
Photovoltaik oder Windkraft. 
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Angestrebte CO,e-Reduktion (Mio. t) 


-40% 
948 


795 
720 
646 
571 


1990 2005 2010 2015 2020 


Geschätzte CO,e-Steigerung der 
Unternehmens-IT (Mio. t) 


+212% ei 


2000 2005 2010 2015 2020 


Gegen den Trend: Ohne Gegenmaßnahmen steigt die durch die IT verursachte 
CO,e-Produktion in Deutschland von 2000 bis 2020 um das Dreifache. Gründe 
dafür sind unter anderem der höhere Durchdringungsgrad der IT, zunehmende 
Internetnutzung und die Verbreitung rechenintensiver Architekturen (Abb. 1). 


Insgesamt haben diese Maßnahmen 
ein Stromsparpotenzial von 15 bis 
20 % für deutsche Rechenzentren. Dies 
entspricht einem verringerten CO,- 
Ausstoß um 1 Mio. Tonnen oder 0,2 
Mrd. Euro pro Jahr an eingesparten 
Stromkosten [4]. 


Fazit 


Auch wenn Konsolidierung und Küh- 
lung die zwei Hauptthemen in puncto 
energieeffiziente Rechenzentren sind, 
haben die einzelnen Hersteller von 
Rechenzentrumskomponenten unter- 
schiedliche Strategien der Energie- 
reduktion entwickelt. Es ist schier un- 
möglich, auch nur im Ansatz alle 
Produkttrends der einzelnen Hersteller 
im Bereich „Grünes Rechenzentrum“ 
aufzuzeigen. 

Wichtig ist es aber für jeden Re- 
chenzentrumsbetreiber, zu verstehen, 
dass in Zukunft die Energiekosten die 
Anschaffungskosten bei Weitem über- 
schreiten werden. Außerdem wird man 
um die Einsicht nicht herumkommen, 
dass das Thema „Grünes Rechenzen- 
trum“ ein sehr komplexes ist und es 
nicht genügt, hier und da einen „Strom- 
fresser“ zu beseitigen. Wie ausführlich 
gezeigt, muss es in erster Linie darum 
gehen, die Systeme optimal auszulas- 
ten, auf modulare Lösungen zu setzen 
und ein gutes Verhältnis zwischen 
Energieverbrauch und Leistung zu er- 
reichen. Letztlich kommt es auf eine 
detaillierte individuelle Planung und 
Umsetzung an. Denn jedes Rechenzen- 
trum weist andere Rahmenbedingungen 
in puncto Räumlichkeiten, Leistungs- 
bedarf und machbaren Energieeinspa- 
rungen auf. (sun) 


JANA BEHR 


ist freie IT-Redakteurin. 
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er kennt das nicht? Man 
kommt als Neuer in ein beste- 
hendes Projekt und muss sich 


erst einmal einarbeiten. Dummerweise 
sind alle ziemlich beschäftigt, sodass 
man allein auf Pflichtenheft, Fachkon- 
zept, Architektur-Dokumente und Ent- 
wickler-Handbücher angewiesen ist. 
Glücklicherweise sind diese vorhanden, 
führen aber oft in die Irre. Es stellt sich 
heraus, dass große Teile der Dokumen- 
tation veraltet sind und dem aktuellen 
Stand von zwei Versionen hinterher- 
hinken. 

Als einzig verlässliche Quelle bleibt 
der Sourcecode selbst. Noch immer ist 
Dokumentation unter Entwicklern (und 
nicht nur dort) unbeliebt, obgleich das 


Document Driven Development 
mit dem Fit-Frramework 


Rettet die 
Dokumente! 


Oliver Böhm 


Zu den ungeliebtesten Aufgaben in der Softwareent- 
wicklung gehört die Dokumentation - obwohl jeder 
weiß, wie wichtig sie ist. Wer es schafft, Dokumente 
während des Entwicklungsprozesses zu aktualisieren 
und so am Leben zu erhalten, kennt nicht nur stets den 
aktuellen Projektstatus, sondern kann sich gleichzeitig 
durch Integrationstests das Leben erleichtern. 


V-Modell und andere Vorgehensmo- 
delle so viel Wert drauf legen. Um das 
zu verstehen, sollen die folgenden Aus- 
führungen ein traditionelles Dokument 
auf seinem Weg von der Wiege bis zur 
Bahre begleiten. 


Das Leiden 
des Dokuments X 


Dabei soll es sich vor allem darum 
drehen, wie sich mit einem kleinen 
Trick Dokumente gegen Alterung schüt- 
zen lassen. Mithilfe von Fit (Framework 
for Integrated Test, siehe „Onlinequel- 
len“) und eines Document-Driven-De- 
velopment-Ansatzes (DDD) kann man 


A-TRACT 


© Fachkonzepte entstehen häufig unter Zeitdruck und gehören zudem zu den 
ungeliebten Aufgaben von Entwicklern. Testfälle für die Integrationstests werden 
häufig aus ungenauen und lückenhaften Fachkonzepten abgeleitet. 


© Ein Vorgehen, das dem Document Driven Development entspricht, und der Einsatz 
des Fit-Framework lassen Fehler und unzureichende Spezifizierung während des 
Entwicklungsprozesses offenkundig werden. 


© Durch den Einsatz von Tabellen kann der Entwickler solche Lücken schließen und 
zudem eine solide Basis für den Entwurf von Integrationstests schaffen. 
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erreichen, dass der Projektfortschritt in 
der Softwareentwicklung sichtbar wird 
und Integrationstests ihren Schrecken 
verlieren. 

Anhand eines Fachkonzepts einer 
E-Banking-Anwendung lassen sich ei- 
nige typische Probleme identifizieren, 
die so oder ähnlich in vielen Projekte 
auftauchen. Entwickler erstellen Fach- 
konzepte oft widerwillig und unter 
Zeitdruck. Viele Fragen lässt schon das 
Pflichtenheft offen, die ein Projektteam 
in der Kürze der Zeit und trotz der vie- 
len ungeliebten Abstimmungs-Mee- 
tings nicht alle klären kann. Und um 
nichts Falsches ins Fachkonzept zu 
schreiben, sind viele Passagen wie der 
folgende Ausschnitt zur Login-Maske 
ziemlich unverbindlich gehalten — 
schließlich soll das Dokument ja irgend- 
wann mal fertig werden: 

„... Die Login-Maske bietet die Mög- 
lichkeit, sich mit einer Benutzerken- 
nung und der PIN anzumelden. Wird 
eines der beiden Felder nicht ausge- 
füllt, wird dem Benutzer eine entspre- 
chende Fehlermeldung angezeigt ...“ 

Ist das Fachkonzept erstellt und ab- 
genommen, ist damit oft auch sein Tod 
vorprogrammiert. Mit der Abnahme 
gibt es niemanden mehr, der für das 
Dokument verantwortlich zeichnet. Je- 
der ist froh, dass es endlich fertig ist, 
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und kein Entwickler wird es freiwillig 
anpassen oder korrigieren, sondern 
neue Erkenntnisse oder Änderungen di- 
rekt in Code gießen. Mitarbeiter, die 
später zum Projekt dazustoßen, haben 
Pech - sie finden ein veraltetes Doku- 
ment vor, in dem Dinge fehlen oder 
nicht mehr richtig sind. 

Kurzum, der Lebenszyklus (oder 
besser „Leidensweg“) eines Doku- 
ments lässt sich so zusammenfassen: 

— schwere Geburt (oft mit vielen We- 
hen verbunden) 

— schwieriges Wachstum (ungeliebtes 
Kind, viel Arbeit, wenig Freude) 

- früher Tod (keine Eltern, keine Pflege) 
Mit fortlaufender Projektdauer nimmt 
die Übereinstimmung des Dokuments 
mit den Anforderungen und damit sei- 
ne Qualität immer mehr ab. 

Ein weiteres Problem mit dem Fach- 
konzept zeigt sich bei den Integrations- 
tests, für die bei größeren Projekten oft 
eine eigene Testabteilung zuständig ist. 
Testfälle werden meist in Form von 
Excel-Tabellen aus dem Fachkonzept 
oder Pflichtenheft abgeleitet. 

Leider gibt das Fachkonzept nicht 
alle für das Testen benötigten Daten 
her, sodass oft Rücksprachen mit der 
Fachabteilung (oder dem Auftraggeber) 
nötig sind. Das Ergebnis einer solchen 
Zusammenarbeit ist in Tabelle 1 an der 
Fehlermeldung in der Spalte „Erwarte- 
tes Ergebnis“ zu sehen, das so konkret 
weder im Fachkonzept noch im Pflich- 
tenheft stand. Fehler im Fachkonzept 
offenbaren sich ebenfalls meist erst 
beim Ableiten der Testfälle. 


Rückgriff auf Altbekanntes 


Einen Ausweg aus dem Dilemma mit 
ungepflegten Dokumenten und fehlen- 
dem Test-Input bietet das Fit-Frame- 
work von Ward Cunningham, der 
schon mit dem Ur-Wiki eine einfache, 
aber mächtige Anwendung geschaffen 
hat. Die Grundidee hinter Fit ist, dass 
Tester keine neue Testsprache brau- 


Id. Nr. Voraussetzung Testeingabe erwartetes Ergebnis Ergebnis Art der Abweichung 
2 Benutzer steht Ieere Fehlermeldung: 
auf Anmeldemaske Benutzerkennung Im Feld „Benutzerkennung“ ist für die 
Bearbeitung eine Eingabe erforderlich. 
% gültige Benutzerkennung, Fehlermeldung: Im Feld „PIN” ist für die 
Bearbeitung eine Eingabe erforderlich. 


Ieere PIN 


Benutzerkennung PIN Fehlermeldung 

47118015 12345 keine Fehlermeldung 
12345 

47118015 


Im Feld „Benutzerkennung“ ist für die Bearbeitung eine Eingabe erforderlich. 
Im Feld „PIN” ist für die Bearbeitung eine Eingabe erforderlich. 


Benutzerkennung PIN Fehlermeldung(‘) 

47118015 12345 keine Fehlermeldung 
12345 

47118015 


Im Feld „Benutzerkennung“ ist für die Bearbeitung eine Eingabe erforderlich. 
Im Feld „PIN” ist für die Bearbeitung eine Eingabe erforderlich. 


Im Feld „Benutzerkennung“ ist für die Bearbeitung eine Eingabe erforderlich. 
Im Feld „PIN” ist für die Bearbeitung eine Eingabe erforderlich. 


Benutzerkennung PIN 
47118015 12345 

12345 
47118015 


Fehlermeldung() 
keine Fehlermeldung 
Im Feld „Benutzerkennung“ ist für die Bearbeitung eine Eingabe erforderlich. 
Im Feld „PIN” ist für die Bearbeitung eine Eingabe erforderlich. 


Im Feld „Benutzerkennung“ ist für die Bearbeitung eine Eingabe erforderlich. 
Im Feld „PIN“ ist für die Bearbeitung eine Eingabe erforderlich. expected 


Im Feld „Benutzerkennung“ ist für die Bearbeitung eine Eingabe erforderlich. actual 


chen, sondern dass eine Unterstützung 
auf dem aufbauen soll, was sowohl 
Tester als auch die Experten aus der 
Fachabteilung beherrschen — den Um- 
gang mit (Excel-)Tabellen. 

Für den Einsatz von Fit wird das 
Fachkonzept um Tabellen angereichert, 
die das Team später für eine Automati- 
sierung des Integrationstests heranzie- 
hen kann. Das Eingangsbeispiel wird 
dabei um Tabelle 2 ergänzt: 

Für den Autor des Fachkonzepts 
bedeutet das zunächst Mehrarbeit, die 
sich erst viel später beim Testen be- 
zahlt macht. Er muss nicht nur die 


Tabellen erstellen, sondern es sind zu- 
sätzliche Absprachen mit der Fachab- 
teilung oder dem Auftraggeber nötig — 
hier beispielsweise für die gewünschte 
Fehlermeldung. Allerdings darf man 
nicht vergessen, dass das Fachkonzept 
die Grundlage für die anschließende 
Entwicklung ist und diese Angaben 
spätestens hier benötigt werden. 
Tabellen werten das Dokument auf 
und machen es konkreter und verständ- 
licher (und damit die Entwicklung ge- 
radliniger). Manche Unklarheit lässt sich 
so im Vorfeld ausräumen, was unter 
Umständen teure Fehlentwicklungen 
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‚Aktivität ne Ba Fachkonzept Modellierung Implementierung Test 


Wartung/ | 
Optimierung 


Fachkonzept 


| bereits Bestandteil des Fachkonzepts 


Testdurchführung Testprotokoll 


Das Fit-Framework integriert sich nahtlos in den Entwicklungsprozess (Abb. 1). 


vermeidet. Beispielsweise lässt sich die 
Tabelle leicht um eine Fehlermeldung 
für den Fall ergänzen, dass überhaupt 
keine Eingabe erfolgt (siehe Ende Ta- 
belle 3). Unter anderem ergeben sich of- 
fene Fragen, wenn man noch in Kontakt 
mit der Fachabteilung oder dem Auf- 
traggeber ist. Der Entwickler findet sich 
zudem viel schneller zurecht, da alles 
Wichtige in Tabellen zusammengefasst 
ist, und der Tester erhält konkrete Vor- 
gaben für Testfälle. Darüber hinaus 
kann er die Tabellen mithilfe von Fit als 
Eingabe für automatisierte Tests nutzen. 

Hierfür muss er die Tabellen noch 
ein wenig anpassen. Entscheidend ist 
dabei der Kopf der Tabelle (siehe Ta- 
belle 3). 

In der ersten Zeile (hier: giropay. 
blackbox fit fixture.LoginFixture) muss 
im Beispiel eine Java-Klasse stehen, die 
das Framework aufrufen kann und die 
im Fit-Sprachgebrauch als „Fixture‘“ be- 
zeichnet wird. Diese Klasse muss die 
Bedeutung der einzelnen Spalten ken- 
nen, wobei sie durch das Framework 
unterstützt wird. Dazu wurde die zweite 
Zeile etwas angepasst und in Eingabe- 
Spalten und Ausgabe-Spalten aufgeteilt: 
Erstere haben das Aussehen von Java- 
Attributen (hier: Benutzerkennung, 


PIN), Ausgabe-Spalten sehen durch das 
angehängte Klammern-Paar aus wie ei- 
ne Methode (hier: Fehlermeldung). 
Dies entspricht der Notation, die Fit im 
Fixture erwartet (siehe Listing 1). 

Das Fit-Framework belegt die bei- 
den Attribute Benutzerkennung und 


PIN vor, bevor es die Methode Fehler- 
meldung() aufruft. Für einen automati- 
sierten Test muss der Entwickler ledig- 
lich LoginFixture von der Oberklasse 
ColumnFixture ableiten und die Feh- 
lermeldung() implementieren. 

Fit liefert einen FileRunner mit, der 
zwar nur HTML-Dateien lesen kann, 
aber sowohl Word als auch Excel kön- 
nen Dokumente nach HTML exportie- 
ren. Das Ergebnis gibt der FileRunner 
in Form einer kommentierten Kopie 
des Dokuments aus. Ob ein Testfall er- 
folgreich war, protokolliert Fit über die 
Tabellen innerhalb dieses Dokuments 
(vgl. Tabelle 4): 

— War der Test erfolgreich, hinterlegt Fit 
den Tabelleneintrag grün. 

— Weicht das Ergebnis von der Vorgabe 
ab, wird der Unterschied angezeigt und 
der Eintrag erscheint auf rotem Hinter- 
grund. 

— Das Auftreten einer Exception zeigt 
das Framework ebenfalls an und mar- 
kiert sie gelb. 

Aus Tabelle 4 ist relativ schnell die 
fehlende zweite Fehlermeldung ersicht- 
lich, deren Fehlen jetzt schon während 
der Entwicklung auffällt und nicht erst 
später während des Integrationstests of- 
fensichtlich wird. 


Das Dokument lebt 


Bei der anfangs erwähnten E-Banking- 
Software stellte sich im Verlauf der Ent- 
wicklung heraus, dass die Schnittstelle, 


Fehlermeldung() 
keine Fehlermeldung 

Im Feld „Benutzerkennung“ ist für die Bearbeitung eine Eingabe erforderlich. 
Im Feld „PIN” ist für die Bearbeitung eine Eingabe erforderlich. 


Im Feld „Benutzerkennung“ ist für die Bearbeitung eine Eingabe erforderlich. 
Im Feld „PIN” ist für die Bearbeitung eine Eingabe erforderlich. 


Benutzerkennung PIN 
47118015 12345 
12345 
47118015 
ANA 12345 
104 


Die Eingabe im Feld „Benutzerkennung“ ist ungültig. 


über die das Backend angesprochen 
wird, allergisch auf Sonderzeichen 
reagiert. Eine Rücksprache mit den 
Fachleuten ergab, dass die Prüfung 
von gültigen Zeichen bereits im Front- 
end erfolgen muss. Weder im Pflich- 
tenheft noch im Fachkonzept war das 
spezifiziert. 

Meist ist der notwendige Ände- 
rungsaufwand an bestehenden Doku- 
menten zu hoch, sodass in vielen Pro- 
jekten ein Entwickler die fehlenden 
Prüfungen direkt implementiert, ohne 
sie zu dokumentieren. Damit setzt ein 
schleichender Alterungsprozess des 
Dokuments ein. 

Mit dem Fit-Ansatz ist es relativ ein- 
fach, das Fachkonzept anzupassen: Es 
gibt ja bereits eine Tabelle mit erlaub- 
ten und unerlaubten Eingabe-Kombina- 
tionen, die sich schnell erweitern lässt 
(siehe Tabelle 5). 

Da bereits eine Implementierung 
von LoginFixture vorliegt, muss man 
nur einen weiteren Testlauf starten und 
erhält unmittelbares Feedback, ob die 
Software das Gewünschte leistet. 

Auf diese Art und Weise führen 
neue Erkenntnisse zu neuen Testfällen 
und man erhält ein lebendes Doku- 
ment. Durch den automatischen Ab- 
lauf der Tests erkennt der Entwickler 
zudem schnell, ob das Dokument mit 
der Software übereinstimmt. Manch- 
mal stellt sich auch heraus, dass nicht 
die Software, sondern das Fachkon- 
zept falsch ist. Auf jeden Fall erfolgt 
eine unmittelbare Rückmeldung darü- 
ber, inwieweit Dokumentation und 
Implementierung kongruent sind. 

Als größte Hürde beim Einsatz von 
Fit erwies sich das mühsame Erstellen 
der Tabellen mit Word. Immerhin hat 
sich die Mühe gelohnt. Sowohl der 
Auftraggeber als auch die Geschäftslei- 
tung haben dem Team für das Fach- 
konzept Lob gezollt — offensichtlich 
hob es sich allein durch seine Tabellen 


Listing 1: Klasse LoginFixture 
public class Loginfixture extends ColunnFixture { 


public String Benutzerkennung; 
public String PIN; 


public String Fehlermeldung‘) { 
String errorlisg = Login(Benutzerkennung, PIN); 
if (Stringltils.isEnptylerrorisg)) { 
return "keine Fehlermeldung"; 
r else { 
return erroriisg; 


Mit diesem Fixture kann das Fit- 
Framework Tabelle 3 überprüfen. 
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positiv vom Rest des Projekts ab. Die 
Befürchtung, dass der Tabellenkopf 
durch die Angabe des Testtreibers (Fix- 
ture) oder durch die notwendige Java- 
Namenskonvention negativ auffiel, er- 
wies sich als unbegründet. 


Erfahrungen 
aus dem Projektalltag 


Etwas heikel war die Erweiterung des 
Fachkonzepts. Schließlich handelt es 
sich dabei um ein offiziell abgenom- 
menes Dokument, das als Basis für die 
abgegebene Schätzung dient. Daher 
hat das Team Änderungen in einem ei- 
genen Anhang zusammengefasst. Zu- 
sätzlicher Aufwand (etwa die Prüfung 
der Eingabe) wurde dadurch deut- 
licher sichtbar und konnte mit dem 
Auftraggeber diskutiert werden. 
Parallel zur Erstellung des Fachkon- 
zepts implementierte das Projektteam 
leere Testklassen. Damit ließ sich mit 
der Abnahme des Fachkonzepts bereits 
ein erster Integrationstest starten. Zwar 
schlugen noch alle Tests fehl (genauer 
gesagt lieferte das Fit-Framework Ex- 
ceptions, weil Attribute und Methoden 
noch fehlten), aber es lag eine Aus- 
gangsbasis für die zweiwöchigen Ar- 
beitsplanungen vor. Die Tests, die noch 
nicht liefen, wurden für den nächsten 
Zyklus geplant und aufgeteilt. Zwei 
Vorteile ergaben sich dadurch: 


DDD www.agentes.de/ddd/ 
Fit fit.c2.com 
Fit-Einführung oli.blogger.de/20080413/ 


- Der Projektfortschritt wurde sichtbar 
und 
das Team erhielt durch den TDD-An- 
satz eine testbare Architektur und konn- 
te Refactorings gelassener angehen. 
Unsicherheit herrschte bei der Fra- 
ge, ob Fit die JUnit-Tests überflüssig 
machen würde, beziehungsweise wie 
sich die beiden Test-Frameworks von- 
einander abgrenzen. Der Name verrät 
es schon: Fit ist für den Integrations- 
test vorgesehen. Deswegen dürfen Fit- 
Tests schon mal länger dauern (und tun 
es auch), da sie nicht so häufig aufgeru- 
fen werden. JUnit-Tests hingegen sind 
Entwickler-Tests, die die Funktion einer 
einzelnen Klasse testen. Ihr Aufruf er- 
folgt im Idealfall bei jeder Änderung der 
Klasse, daher müssen sie schnell sein. 
Leider hat das Projektteam es aus 
Zeitmangel nicht geschafft, alle Fit- 
Tests auf grün zu bekommen, da das 
Schreiben der Test-Treiber auch Zeit 
kostet — hier musste man abwägen, ob 
sich für einige Tabellen der Aufwand 
lohnt. Es blieben aber genügend „grü- 
ne“ Tabellen übrig, die die Integration 
erleichterten und die manuelle Tests 
zwar nicht überflüssig machten, aber 
die Arbeit dafür erheblich reduzierten. 
Ein willkommener Zusatznutzen er- 
gab sich für den Betrieb, da die Auslie- 
ferung der Fit-Tests inzwischen zusam- 
men mit einer kleinen Weboberfläche 
erfolgt. Dadurch kann der Administra- 
tor die Anwendung und die Konfigu- 
ration während des Betriebs jederzeit 
überprüfen. 


Fazit 


Der Einsatz des Test-Framework hat 


gen von der Analyse mit der Erstellung 
des Fachkonzepts erstreckt sich das Fit- 
Einsatzgebiet bis hin zur Betriebsüber- 
gabe als Diagnose-Werkzeug. 

Etwas nachteilig wirkt sich der zu- 
sätzliche Aufwand bei der Erstellung 
der Dokumente aus — kein Entwickler 
oder Architekt dokumentiert gern. 
Aber dieser Mehraufwand macht sich 
schnell bezahlt, und die Akzeptanz 
von Fit innerhalb des Projektteams 
war sehr hoch. 

Dabei ist Fit nicht auf Java be- 
schränkt. Auf der Fit-Homepage finden 
sich Links zu anderen Sprachen, aber 
auch Tools, die das Framework erwei- 
tern oder darauf aufbauen. Sein Einsatz 
bietet viele Vorteile, von denen dieser 
Artikel nur einen Teil aufführen konnte: 
— Dokumente werden verständlicher. 

— Missverständnisse treten deutlich 
früher zutage. 

— Die Dokumentation ist aktueller 
(Dokumente müssen gepflegt werden, 
sonst schlagen Tests fehl). 

— Hierarchische Dokumente sind mög- 
lich. 

— Die Dokumente sind auch für Akzep- 
tanz- und GUI-Tests geeignet. 

— Mit dem Framework entwickelte Pro- 
jekte erlauben automatisierte, kontinu- 
ierliche Integrationstests und die Ein- 
bindung in den Build-Prozess von Ant 
oder Maven. Mit Fit sind Dokumente 
nicht mehr Teil des Problems, sondern 
Teil der Lösung. (ka) 


OLIVER BÖHM 
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anderem Autor des Buches „Aspekt- 
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Embedded Systems 


Individuelle Optimierung von Echtzeit-Anwendungen 


Ganzheitliches 
Tuning 


Amjad Mohsen 


In Anwendungsbereichen wie der digitalen Signalverarbeitung 
ersetzen zunehmend High-Level-Synthese-Werkzeuge traditionelle 
Entwurfsmethoden. Doch macht das individuelle Anpassungen wirklich 


überflüssig® 


twa zwei Drittel aller Elek- 
E tronik-Ingenieure dürfte 

mit Design, Programmie- 
rung, Test und Integration ein- 
gebetteter Computersysteme 
beschäftigt sein. Üblicher- 
weise arbeiten diese Systeme 
unter Echtzeitbedingungen 
und engen Vorgaben, was 
den Stromverbrauch angeht. 
Mehr Performance und eine 
flexible Architektur sind nicht 
nur für eine bequeme Benut- 
zung nötig, sondern auch für 
eine Verlängerung der „Pro- 
duktlebenszeit“. Gleichzeitig 
steigt die Komplexität dieser 
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Systeme exponentiell bei 
ständigem Druck, die Zeit bis 
zur Marktreife zu verkürzen. 
Obwohl die Halbleitertech- 
nik in naher Zukunft eine 
Milliarde Transistoren pro 
Quadratzentimeter verbauen 
kann, bleibt die Frage, wie gut 
die Designer diese Entwick- 
lung nutzen können. Produk- 
tivitätsverbesserungen sind 
und bleiben eine zentrale Auf- 
gabe der Entwickler. 
High-Level-Synthese ist in 
diesem Zusammenhang ein 
wichtiger Ansatz. Eine frühe 
Systemoptimierung auf hoher 


Abstraktionsebene kann zu- 
sammen mit nach verschie- 
denen Kriterien (Laufzeiten, 
Flächenbedarf) optimieren- 
den Synthesewerkzeugen die- 
se einander widersprechenden 
Anforderungen unter einen 
Hut bringen. So sind signifi- 
kante Verbesserungen der 
Qualität des gesamten Sys- 
tems möglich [1]. Der wich- 
tigste Hebel der Optimierung, 
auch auf hohem Abstraktions- 
niveau, ist die frühe und ef- 
fiziente Nutzung aller De- 
signbeziehungen. Durch die 
Nutzung von High-Level- 


Tools lässt sich hier eine 
deutlich bessere Performance 
erreichen, abgesehen von ge- 
ringeren Kosten und weniger 
Stromverbrauch. 


Richtig modellieren 


Einer der ersten Schritte ist 
die Modellierung des Systems 
durch abstrakte Beschrei- 
bungssprachen wie UML, 
SDL oder Programmierspra- 
chen wie C/C++ und Java. 
Die Funktion des Systems 
kann so verifiziert werden, 
und man hat eine gute Chance, 
mögliche Performance-Eng- 
pässe zu identifizieren. Lei- 
der lassen sich in den meisten 
aktuell genutzten Sprachen 
nichtfunktionale Bedingungen 
wie Performance und Strom- 
verbrauch nicht abbilden. 

Das führt zu einem wach- 
senden Bedarf an High- 
Level-Synthese-Werkzeugen 
zur Verarbeitung von abstrak- 
ten Beschreibungen, die sich 
während des Designprozesses 
verändern lassen. So könnte 
man ein komplettes Design in 
Hard- und Software generie- 
ren lassen, das mit kommer- 
ziellen Tools kompiliert und 
gleichzeitig simuliert werden 
kann. Design Space Explo- 
ration oder ein signifikanter 
Teil davon steht für diese 
Tools ebenfalls auf der 
Wunschliste. 

Nach unseren experimen- 
tellen Erfahrungen kann der 
Einsatz von High-Level-Syn- 
these-Tools den Design-Zy- 
klus neuer Produkte entschei- 
dend verkürzen; besonders in 
rechenintensiven Anwendun- 
gen. Manche Werkzeuge wie 
Catapult C (Mentor Graphics) 
und der C2H-Compiler (Al- 
tera) können eine Teilmenge 
von ANSI-C respektive C++ 
direkt in HDL (Hardware 
Description Language) über- 
setzen, etwa in VHDL (Very 
High Speed Integrated Circuit 
Hardware Description Lang- 
uage) oder Verilog. 

Diese und ähnliche Tools 
analysieren zunächst, ob sie 
alle Datenstrukturen und -ty- 
pen im Quellcode „verste- 
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hen“. Der Benutzer muss den 
Code nicht nur dahingehend 
verändern, sondern auch so, 
dass das ausgewählte Werk- 
zeug in der Lage ist, effizien- 
tere Design-Alternativen zu 
generieren. Je nach Tool wird 
dann das Design mithilfe von 
gelegentlichen Benutzerein- 
griffen schrittweise verfeinert. 

Zu diesem Zweck bietet 
beispielsweise Catapult C 
viele Benutzeroptionen zur 
weiteren Designoptimierung. 
Gleichzeitig wird werkzeug- 
abhängig durch ausgewählte 
Strukturen oder Programm- 
tricks ein effizienteres De- 
signs erzeugt, insbesondere 
bei der Optimierung von 
Schleifen und Speichermap- 
ping-Strukturen. 

Daher ist die Erfahrung 
des Anwenders mit dem Tool 
und in Sachen Hardwarede- 
sign ein entscheidender Fak- 
tor. Schlechte Ergebnisse ha- 
ben oft mehr zu tun mit einer 
unsachgemäßen Auswahl der 
Werkzeuge, der Unfähigkeit 
zur Nutzung der verfügbaren 
Optimierungsoptionen oder 
Qualitätsmängeln des Aus- 
gangscodes als mit dem Werk- 
zeug selbst. 

Einige Werkzeuge wie der 
C2H-Compiler setzen voraus, 
dass der ursprüngliche Quell- 
code auf einer bestimmten 
Plattform, in diesem Fall Al- 
teras NIOS-Prozessor, lauffä- 
hig sein muss, bevor sie ihn 
weiterverarbeiten. Das Tool 
kann dann aus dem ursprüng- 
lichen Quelltext ein hard- 
warebeschleunigtes System 
entwerfen. Der Benutzer kann 
entscheiden, performancekri- 
tische Funktionen aus der 


Software in die Hardware 
zu verlegen und im FPGA 
(Field Programmable Gate 
Array) zu implementieren. 
Die dazu nötige Hardware- 
Software-Schnittstelle gene- 
riert das Tool, das neu 
auf Hardware und Software 
verteilte System läuft dann 
auf einem NIOS-basierten 
Modul. 

Zwar sind solche Werk- 
zeuge auf bestimmte Platt- 
formen beschränkt, doch 
das ermöglicht ihnen, die 
Schnittstelle zwischen der er- 
zeugten HDL-Beschreibung 
und dem restlichen Teil der 
Software selbst zu generie- 
ren. Dennoch sollte man, um 
hochwertige Design-Alter- 
nativen zu erhalten, vorab 
den Sourcecode entsprechend 
den Anforderungen des 
Werkzeugs ändern. Manch- 
mal muss der Benutzer den 
Quelltext mehrmals modifi- 
zieren, um verschiedene Op- 
timierungstechniken zu nut- 
zen, die das Tool zum 
Entwurf von Design-Alterna- 
tiven veranlassen. Das er- 
möglicht explizite Vergleiche 
der unterschiedlichen De- 
signvorgaben, was etwa die 
Erkundung des Design Space 
oder von Teilen davon an- 
geht. Je mehr Alternativen er 
analysiert, desto sicherer 
kann der Entwickler sein, 
sich mit seiner gewählten 
Konstruktion dem Optimum 
weitestmöglich genähert zu 
haben. Catapult C zum Bei- 
spiel kann automatisch alle 
generierten Alternativen ver- 
gleichen und die Ergebnisse 
dem Anwender in verschie- 
denen Formen präsentieren. 


funktionieren. 


Software. 


A-TRACT 


@ High-Level-Synthese-Tools sollen den Entwicklungszyklus 
verkürzen und die Qualität des Designs verbessern helfen. 


© Viele Anwendungen des Embedded Computing sind zu 
komplex, um ohne individuelle Anpassungen optimal zu 


© Als wichtige Vorgehensweise hat sich das Co-Design 
erwiesen, die gleichzeitige Entwicklung von Hard- und 
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Doch in vielen Anwen- 
dungsbereichen, etwa kom- 
plexen Steuersystemen, liefern 
High-Level-Synthese-Tools oft 
schlechtere Ergebnisse als er- 
wartet. Für solche Anwen- 
dungen ist ein tiefes Ver- 
ständnis der Algorithmen und 
der Erwartungen an die Ar- 
beitsumgebung erforderlich. 
Normalerweise werden per- 
formancekritische Abschnitte 
anhand einer gründlichen 
Analyse unter Berücksichti- 
gung verschiedener Szena- 
rien bestimmt. Daraus lässt 
sich dann die geeignete 
Technik zur Beschleunigung 
bestimmen, die nicht unbe- 
dingt hardwarebasiert sein 
muss. In vielen Fällen ist ei- 
ne Softwareänderung das — 
auch deutlich kostengünsti- 
gere — Mittel der Wahl. 


Effizient 
kombinieren 


Nach unseren Erfahrungen 
führt vor allem die effiziente 
Kombination von Software- 
und Hardwarebeschleunigung, 
im Sinne des sogenannten 
Co-Designs, zum günstigsten 
Preis-Leistungs-Verhältnis. In 
frühen Designschritten lassen 
sich komplexe Algorithmen 
analysieren und so weit wie 
möglich vereinfachen, hin- 
sichtlich mehr Regelmäßig- 
keit, weniger Kommunika- 
tion zwischen funktionalen 
Blöcken, Ersetzen komplexer 
Operationen und so weiter. 
Die Vereinfachung von 
Algorithmen ist ein wichti- 
ger Schritt, nicht nur in an- 
wendungsspezifischen An- 
passungen, sondern auch 
beim Einsatz von High-Le- 
vel-Synthese-Tools. Zudem 
kann diese Vereinfachung die 
Komplexität der Hard-/Soft- 
ware-Schnittstellen reduzieren. 
In diesem Zusammenhang sei 
erwähnt, dass hardwareba- 
sierte Performanceverbesse- 
rung entweder als separater 
Beschleunigungs-Chip, ne- 
ben dem Prozessor, umge- 
setzt werden kann oder in 
Form benutzerdefinierter An- 
weisungen (unter NIOS-Sys- 


temen). Benutzerdefinierte 
Anweisungen erweitern den 
Befehlssatz des Prozessors 
oder seine Architektur. 

Ein typischer Synthesepro- 
zess stellt sich als eine Reihe 
aufeinander folgender Opti- 
mierungsschritte dar. Dazu 
hat jedes High-Level-Synthe- 
se-Tool seinen eigenen Opti- 
mierungsalgorithmus, der die 
Qualität der erzeugten De- 
sign-Alternativen bestimmt 
sowie die erforderliche Zeit, 
um eine Alternative im Rah- 
men der vorgegebenen Bedin- 
gungen zu finden. 


High-Level-Synthese 
auf einen Blick 


Man kann High-Level-Syn- 
these als Transformation einer 
Verhaltensbeschreibung eines 
Designs in eine Register- 
Transfer-Beschreibung (RTL: 
Register Transfer Language) 
betrachten. Die Art der Be- 
schreibung des Systemverhal- 
tens hängt von der Entwick- 
lungsumgebung ab. Üblich 
sind Grafiken oder Modelle 
in Programmiersprachen wie 
C/C++. Grundsätzlich be- 
steht der Syntheseprozess 
aus drei Hauptschritten: Al- 
location (Zuweisung der 
Ressourcen), Binding (Zu- 
weisung der Aufgaben) und 
Scheduling (Ablauf). 

Die Zuweisung der Re- 
ssourcen bestimmt Art und 
Anzahl der Instanzen der ein- 
zelnen grundlegenden Hard- 
warekomponenten, die zur 
Umsetzung eines Algorithmus 
erforderlich sind. Der Syn- 
theseprozess in Automati- 
sierungs-Tools stellt Kom- 
ponenten aus Bibliotheken 
zusammen, die in der Regel 
zum Lieferumfang gehören. 
In vielen kommerziellen 
Tools wie Catapult C lassen 
sich diese Bibliotheken durch 
den Designer um individuelle, 
speziell optimierte Kompo- 
nenten erweitern. Empfeh- 
lenswert sind unterschiedliche 
Typen der gleichen Kompo- 
nente, zum Beispiel eine opti- 
miert für Leistung und eine 
andere für Energieverbrauch. 
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Embedded Systems 


Während des Bindens werden 
Operationen oder Aufgaben 
des Algorithmus den Hard- 
warekomponenten zugewie- 
sen, sodass jeder Aufgabe je- 
derzeit eine Hardware-Instanz 
zugeordnet ist. 

Catapult C beispielsweise 
erlaubt dem Entwickler, eine 
Ressource an eine bestimmte 
Art von Hardwarekomponen- 
te zu binden und festzulegen, 
wie sie physikalischem Spei- 
cher zugeordnet ist. Der Ent- 
wickler hat durch Ressourcen- 
begrenzungen die Kontrolle 
darüber, welche Komponen- 
ten für welche Operationen 
reserviert sein sollen. Er kann 
so die Art und Weise beein- 
flussen, wie das Design in 
verschiedenen Stufen verfei- 
nert wird. 

Das Scheduling-Verfahren 
bestimmt die Reihenfolge der 
Ausführung nach den gege- 
benen Zuweisungen, sodass 
die zeitliche Durchführbar- 
keit gewährleistet ist. Dies 
wird üblicherweise durch 
Gantt-Diagramme dargestellt. 
Catapult C erzeugt diese au- 
tomatisch, um dem Anwen- 
der das Timing-Verhalten des 
Systems anschaulich zu de- 
monstrieren. 

Zur Verbesserung der De- 
signqualität ist der Benutzer 
gehalten, die Ergebnisse von 
High- Level-Synthese-Tools 
nach jedem Schritt zu ana- 
lysieren. Zum Beispiel die 
Untersuchung der von Cata- 


pult C automatisch generier- 
ten Gantt-Diagramme kann 
in mehreren Fällen dem Be- 
nutzer helfen, die Architek- 
tur- und/oder Ressourcen-Ein- 
schränkungen (constraints) 
besser abzustimmen. Diese ers- 
ten Ergebnisse können Quell- 
code-Änderungen erforderlich 
machen, um das eine oder an- 
dere Designziel besser zu rea- 
lisieren. In Catapult C wird 
der Benutzer aufgefordert, 
verschachtelte C-Schleifen mit 
festen Grenzwerten für jeden 
Loop zu versehen. Dies er- 
leichtert dem Tool die Opti- 
mierung der Schleifen. 


Praktische 
Beispiele 


Eine bemerkenswerte, wich- 
tige Eigenschaft aller High- 
Level-Synthese-Tools ist die 
relativ kurze Zeit, die sie ver- 
glichen mit traditionellen De- 
signmethoden zum Gene- 
rieren und Evaluieren von 
Design-Alternativen benöti- 
gen. Dennoch ist die Erfah- 
rung der Designer ein wich- 
tiger Faktor, der keinesfalls 
ignoriert werden darf. Wie 
auch immer, wer anwen- 
dungsspezifische Hardware- 
beschleunigung in Erwägung 
zieht, sollte auf jeden Fall zu- 
vor die beschriebenen Synthe- 
seschritte durchgeführt haben. 

Nun zu einigen Fällen an- 
wendungsspezifischer Hard-/ 


Arithmetic Operations 
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Doppelt so schnell durch Threading: Performance-Unter- 
schiede zwischen den unterschiedlichen Implementierungen 


der JamVM (Abb. 1) 
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Software-Beschleunigungs- 
Techniken. Obwohl der Autor 
in vielen Anwendungsberei- 
chen mit High-Level-Synthe- 
se arbeitet, konnte in den hier 
betrachteten Fallstudien kei- 
nes der vorgestellten Werk- 
zeuge einen bemerkenswerten 
Vorteil erzielen. Das hängt 
insbesondere mit der Komple- 
xität der Algorithmen zusam- 
men. Ein Synthese-Tool-ge- 
rechtes Umschreiben wäre 
deutlich aufwendiger als eine 
Neuprogrammierung. 

Das erste Beispiel ist die 
Java-Implementierung von 
MP3, als Teil des Multi-Stan- 
dard-Audio-Systems (SDMA). 
Im zweiten Beispiel, dem 
RSA-Kryptografie-Algorith- 
mus, wird dieser durch spe- 
zielle Hardware beschleunigt. 

Java-Anwendungen für 
MP3 wurden ursprünglich 
von JavaZOOM im JLayer- 
Projekt entwickelt [2]. JLayer 
stellt eine Java-Bibliothek zur 
Verfügung, die MP3-Sound- 
Dateien dekodiert, konvertiert 
und in Echtzeit abspielt. Es 
unterstützt die MPEG-Layer 
1,2 und 3. In der Regel ist ei- 
ne Java-MP3-Implementie- 
rung auf Desktop-Computern 
keine große Herausforderung, 
da schnelle Prozessoren ver- 
fügbar sind. Im Gegensatz da- 
zu steht eine Echtzeit-De- 
kodierung auf eingebetteten 
Plattformen wie NIOS schnell 
vor Performanceproblemen. 
Einen entscheidenden Ein- 
fluss auf die Gesamtleistung 
der Java-Applikation hat die 
Java Virtual Machine (JVM), 
eine Software-Implementie- 
rung eines „Prozessors“, der 
architekturneutrale Anweisun- 
gen auf einem realen Prozes- 
sor ausführt. 

Die Performance der Ro- 
bert-Lougher-JamVM wurde 
eingangs mit verschiedenen 
Benchmarks der Java-Bench- 
mark-Suite Grande [3] ge- 
messen. Vor individuellen 
Anpassungen auf der Anwen- 
dungsebene ging es erst ein- 
mal darum, die Unterschiede 
zwischen der threaded und 
switched (umgeschalteten) 
Implementierung der JVM 
festzustellen (Abbildung 1). 


Ergebnis: Der Umstieg von 
Task-Wechseln auf Threads 
kann die Verarbeitungs- 
geschwindigkeit verdoppeln. 
Einschränkend sei gesagt, 
dass dieses Ergebnis nur für 
arithmetische Operationen 
gilt. Eine ebenfalls drastisch 
verbesserte Performance er- 
zielt der Wechsel vom Inter- 
preter- in den Compiler-Mo- 
dus der JVM. Bei Letzterem 
werden Teile des Codes 
übersetzt und dann ohne 
zwischengeschaltete JVM di- 
rekt als Maschinencode aus- 
geführt. Der Unterschied zwi- 
schen den JVM-Versionen von 
Sun und der JamVM, Letztere 
mit GNU Classpath, ist da- 
gegen kaum messbar. Refe- 
renzsystemplattform war ein 
Linux-Rechner mit 3-GHz- 
Prozessor und 2 Gigabyte 
RAM. 

Mindestens ebenso wich- 
tig kann natürlich die Be- 
schleunigung der einzelnen 
Softwareteile sein. Bei der 
MP3-Kodierung erfolgte dies 
durch Profiling und bekannte 
Verfahren wie das Verlagern 
oft aufgerufener Unterpro- 
gramme in Inline-Code. Ty- 
pischer für das Zusammen- 
spiel von Soft- und Hardware 
bei Embedded Systems sind 
aber die bei der RSA-Ver- 
schlüsselung durchgeführten 
Schritte, die darum hier im 
Einzelnen erörtert werden. 


RSA Beine machen 


Der ursprüngliche RSA-Algo- 
rithmus ist in Java entwickelt 
und arbeitet daher relativ 
langsam. Beschleunigungs- 
techniken sollten die Perfor- 
mance der gesamten Anwen- 
dung verbessern. So können 
zur Beschleunigung ausge- 
wählte Teile des Algorithmus 
in nativen Code umgesetzt 
werden. Durch Hardware- 
beschleunigung via FPGA 
dagegen lassen sich sowohl 
die Sicherheit als auch die 
Leistung verbessern. Wo re- 
chenintensive Abschnitte des 
Algorithmus auf die Hard- 
ware migriert werden, sollte 
ein Hard-Software-Co-De- 
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NM Modus ms/Frame Zeit (ms) 
Sun JVM interpretiert 11 5104 
Sun IVM kompiliert 3 1450 
JamJVM interpretiert 11 5050 


Kompilieren statt interpre- 
tieren ist fast 4 x schneller. 


sign weitere Optimierungen 
ermöglichen. Neben der Leis- 
tungsverbesserung ist es bei 
dieser Migration wichtig, den 
durch die Teilauslagerung auf 
die Hardware erzeugten Kom- 
munikationsaufwand in Gren- 
zen zu halten. Der Rest der 
Anwendung läuft wie zuvor in 
Software. 


JNI als Hard- 
Software-Brücke 


Software und neu entwickel- 
ter Hardwarebeschleuniger 
kommunizieren über das Ja- 
va Native Interface (JND). 
Der Beschleuniger ist direkt 
in einer Hardwarebeschrei- 
bungssprache entwickelt und 
wird mithilfe des ALTERA 
SOPC-Builders (SOPC steht 
für System On a Programm- 
able Chip) in die eigentliche 
Anwendung eingebunden. 
Zwar haben Experimente er- 
wiesen, dass JNI eine Quelle 
verschiedener Performance- 
Einbußen sein kann. Doch 


ein sauberes Co-Design des 
ganzen Systems kann diesen 
Einfluss auf ein normales 
Maß reduzieren. 

Kern des RSA-Algorith- 
mus ist das modulare Poten- 
zieren, eine Kombination aus 
Potenzieren und Modulo- 
Operationen. Um zum Bei- 
spiel das n-Bit-Wort X in das 
Wort Y=enc(X) zu verschlüs- 
seln, wird folgende Funktion 
benutzt: 

Enc(X)=(XF),, wobei E 
der Schlüssel oder der öffent- 
liche Exponent ist undM der 
Modulus. Zur Verringerung 
der Komplexität wird der 
RSA-Algorithmus auf der 
Grundlage des Montgomery- 
Algorithmus berechnet, der 
eine effiziente Möglichkeit 
zur Umsetzung der modula- 
ren Multiplikation ohne die 
Notwendigkeit eines aufwen- 
digen Hardwareteilers bietet 
[4]. Statt der Division kom- 
men nur Schiebeoperationen 
zum Einsatz, ein entschei- 
dender Optimierungsfaktor. 
Dieses Weniger an Komple- 
xität minimiert den erforder- 
lichen Hardwareaufwand. 

Der Kern des Montgome- 
ry-RSA-Algorithmus ist in 
Hardware (FPGA) implemen- 
tiert, mit einem Multiplizierer 
und einem Quadrierer (Abbil- 
dung 2). Zudem sind zwei zu- 
sätzliche parallele und ein se- 
rielles Register erforderlich. 


Listing für RSA-Algorithmus 


alf:public class RSAL 
private final static BigInteger bl 


private BigInteger privatekey; 
private BigInteger publickey; 
private BigInteger modulus; 


RSA (int Rand)t 
BigInteger P = pPrime (Rand/2, sR); 
BigInteger Q = pPrime (Rand/2, sR); 


publickey 
privatekey 
BigInteger modulus 
} 


= getPulickey(P, Q); 
= getlodulus(P, 9); 


return message; 
} 
Ix native call#/ 


BigInteger[] phord, 


= nem BigInteger("1"); 
private final static SecureRandom sR = new SecureRandon(); 


= getPrivatekey(P, Q); 


Public BigInteger[] encrypt(BigInteger[] word) € 
BigIntegerL] pWord = preProcess (BigInteger[] word); 
BigInteger[] message = encryptliessage (plord,modulus,P); 


public static native BigInteger[] encrypt (Message 


BigInteger modulus BigInteger P); 


Beispielhafte Java-API: der Hardwarebeschleuniger für 
den RSA-Montgomery-Algorithmus 
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Multiply 


Square 


8, 


<2r>M 
Start up Select 


<2’y>M 
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Schematische Ansicht des angepassten Beschleunigers für 
den RSA-Montgomery-Algorithmus (Abb. 2) 


Beim Start werden die Skalie- 
rungsfaktoren in die paralle- 
len Register geladen. Um den 
durch den Montgomery-Algo- 
rithmus erzeugten 2”-Effekt 
aufzuheben, ist eine abschlie- 
ßende Multiplikation mit 1 
erforderlich. Der Rest der An- 
wendung ist in Java imple- 
mentiert, inklusive der erfor- 
derlichen APIs für den Zugriff 
auf den Hardwarebeschleuni- 
ger. Einen Ausschnitt zeigt 
das Listing. 


Fazit 


Bei der Entwicklung einge- 
betteter Systeme sind trotz 
des bemerkenswerten Ent- 
wicklungsstands von High- 
Level-Synthese-Tools indivi- 
duelle Anpassungen immer 
noch unabdingbar. Eine früh- 
zeitige Optimierung mit dem 
Ziel der Reduzierung der 
Komplexität ist ein Schritt, 
der sowohl zur anwendungs- 
spezifischen Optimierung nö- 
tig ist als auch zu der durch 
High-Level-Synthese-Tools. 
Wichtig bei der individuellen 
Optimierung ist der Co-De- 
sign-Ansatz, die gleichzeitige 
Betrachtung von Hard- und 
Software: Nach der Auftei- 
lung der Anwendung kann 
man die Hardware co-entwi- 
ckeln, zur Verbesserung der 
Leistung des Gesamtsystems. 

Den Softwareteil, der so 
kompliziert sein kann wie ei- 
ne JVM, sollte man je nach 
Bedarf optimieren, wie die 
erste Fallstudie zeigt. Im 
Licht der Experimente relati- 
vieren sich auch die poten- 


ziellen Vorteile der High-Le- 
vel-Synthese. So hilfreich 
diese für die Steigerung der 
Entwicklerproduktivität ist, 
ersetzt sie nicht die indivi- 
duelle, anwendungsspezifi- 
sche Anpassung. Erst der 
richtige Mix aus beiden Me- 
thoden kann die vielfältigen, 
oft gegensätzlichen Erforder- 
nisse komplexer Applikatio- 
nen erfüllen. (JS) 
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Parallelisierung 


Java-Code für Multi-Core-Umgebungen schreiben 


Kernig kodiert 


Nils Gruschka, Luigi Lo Iacono, Jörg Wagner 


Auf Multi-Core-Systemen können parallelisierte Algorithmen deutliche 
Geschwindigkeitsvorteile bringen. Dass mehr Kerne nicht zu einer 
linearen Temposteigerung führen, ist jedoch nur eine der in diesem 
Umfeld zu nehmenden Hürden. 


is heute ist die Welt der 
= Parallelverarbeitung die 

Domäne einiger weniger 
Spezialisten, die sich auf die 
Implementierung nebenläufi- 
ger Algorithmen verstehen. 
Meist bearbeiten die hierbei 
entwickelten Programme kom- 
plexe numerische Aufgaben, 
die beispielsweise die Grund- 
lage für Crashtest-Simulatio- 
nen oder Wetterprognosen bil- 
den. Für ihre Lösung geeignete 
System sind bis dato oft in 
spezialisierten Rechenzentren 
anzutreffen. Die Etablierung 
von Mehrkern-Prozessoren in 
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PCs oder eingebetteten Syste- 
men weicht diese Grenze auf 
und lässt Großrechner-Technik 
auf den Schreibtisch wandern. 
Dies bedingt, dass Parallelver- 
arbeitung in herkömmliche 
(sequenzielle) Software einzie- 
hen muss, damit man die Leis- 
tungsfähigkeit von Mehrkern- 
Systemen ausnutzen kann. Im 
Folgenden geht es darum, was 
dies für Java-Programmierer 
bedeutet. 

In den vergangenen 30 Jah- 
ren bestimmte das Mooresche 
Gesetz die Leistungssteige- 
rung von Rechnern. In Zu- 


kunft wird sie allerdings stär- 
ker vom Amdahlschen Gesetz 
geprägt sein (siehe den gleich- 
namigen Kasten). Es besagt, 
dass das theoretisch erzielbare 
Leistungsplus mit steigender 
Prozessoranzahl immer stärker 
vom sequenziellen Anteil der 
Anwendung abhängt. Um es 
ausschöpfen zu können, ist die 
durchgängige Parallelisierung 
also eine zwingende Voraus- 
setzung. Bei Java-Software 
sind mehrere Schichten be- 
züglich ihrer Parallelisierbar- 
keit zu betrachten, beginnend 
bei der JVM über die zugrunde 


liegenden (Laufzeit-)Biblio- 
theken bis hin zur Anwendung 
selbst. 

Java bot von Anfang an 
Parallelisierungsmöglichkei- 
ten. Dazu gehört als inte- 
graler Sprachbestandteil der 
Thread, mit dem sich Teile 
des Codes parallel ausführen 
lassen. Die JVM befreit den 
Entwickler von der Aufgabe, 
Threads auf Prozesse des Be- 
triebssystems abzubilden und 
damit auf verschiedene Pro- 
zessorkerne zu verteilen. Wie 
dies im Detail stattfindet, wur- 
de zudem bewusst aus den 
Spezifikationen der JVM aus- 
gespart, um Freiraum für die 
unterschiedlichen Eigenschaf- 
ten der verschiedenen Be- 
triebssysteme zu wahren. Dies 
ist einer der Gründe für unter- 
schiedlich effiziente JVM-Im- 
plementierungen. 


Den Speicher 


richtig aufräumen 


Automatische Speicherberei- 
nigung (Garbarge Collection, 
GC) ist eine wichtige Funk- 
tion von Java. Sie gibt den 
Speicher nicht mehr benötig- 
ter Objekte automatisch wie- 
der frei und befreit damit den 
Entwickler von dieser mühse- 
ligen Aufgabe. Auch für die 
automatische Speicherbereini- 
gung stellen Mehrkern-Syste- 
me eine Herausforderung dar. 
So verbraucht eine Applika- 
tion, die 1% ihrer Laufzeit für 
GC verwendet, auf einem 
System mit 32 Kernen bereits 
ein Viertel der Gesamtlaufzeit 
dafür (siehe Kasten zum Am- 
dahlschen Gesetz). Neuere 
Versionen der JVM lockern 
diese Bremse durch parallele 
GC-Algorithmen. 

Dazu gehören der durch 
-XX.+UseParallelGC aktivier- 
te „Throughput Collector“ und 
der „Concurrent Low Pause 
Collector“, den -XX:+Use 
ConcMarkSweepGC einschal- 
tet. Der Throughput Collector 
ist besonders geeignet für Ap- 
plikationen, die viele Objekte 
erzeugen (das heißt eine große 
Population in der Young Ge- 
neration haben) und der Con- 
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des Miller-Rabin-Test 


do { 
I1 wähle zufälliges n 


for (int t=0; t< 100; trr) { 
I wähle zufälliges a 
prineTesters.add(new TestPrine(n,a)); 


} while(!checkResults(testResults)); 

class TestPrime inplenent Callable { 
public Boolean call() £ 
return witness(n,a); 


Listing 1: Intuitiver Ansatz zur Parallelisierung 


int cpuCount = Runtine.getRuntime().availableprocessors(); 
ExecutorService pool = Executors.newFixedThreadPool(cpuCount); 


ArrayList<TestPrime> primeTesters = new ArrayList<TestPrime>(); 


testResults = pool. invokeAll(prineTesters); 


current Low Pause Collector 
für solche Applikationen mit 
langlebigen Objekten (das 
heißt einer großen Population 
in der Tenured Generation). 
Testläufe mit verschiedenen 
Kollektoren helfen, den für 
das jeweilige Projekt geeigne- 
ten zu finden. Hierfür liefert 
die JVM, angewiesen durch 


„verbose:gc -XX:+PrintGCDetails \ 
-AX:+PrintGCTimeStamps 


Daten, die man mit Tools wie 
VisualGC und JConsole (auch 
visuell) auswerten kann (s. 
iX-Link). Vor der Wahl eines 
anderen GC sollten weitere 
Tuning-Möglichkeiten wie 
die Änderung der Größe des 
Heap-Speichers (-Xms -Xmx) 
oder der Generationen (-Xmn 
-XX:NewSize -XX:MaxNew 
Size) ausgeschöpft sein [1]. 
Bibliotheken bilden für die 
meisten Entwickler die ideale 
Stelle, an der sich der Pro- 
grammcode den aktuellen 
Prozessorentwicklungen an- 
passen sollte. Für viele Auf- 


gaben lässt sich hier unter 
Beibehaltung des Interface ein 
paralleler Programmablauf 
implementieren. Gerade An- 
wendungen, die die meiste 
Zeit in (Standard-)Bibliothe- 
ken verbringen, profitieren 
auf einen Schlag von Verbes- 
serungen — ohne dass Code- 
Änderungen nötig wären. 


Bibliotheken 
parallelisiert 


Beispiele hierfür sind Biblio- 
theken für Kryptografie oder 
Lineare Algebra. Auch die 
Java-Klassenbibliothek bein- 
haltet enormes Potenzial zur 
besseren Ausnutzung von 
Mehrkern-Systemen durch 
parallele Algorithmen. Die 
aktuelle Implementierung von 
Collection.sort() im Java Col- 
lection Framework (JCF) ist 
beispielsweise sequenziell re- 
alisiert. Initiativen zur Paral- 
lelisierung des JCF gab es be- 
reits vor einigen Jahren im 


Das Amdahlsche Gesetz 


S = —————— ‚wobei 
(1-P)+P/N 

S: Gesamtbeschleunigung 

P: Anteil der Anwendung, die 

sich parallelisieren lässt 

N: Anzahl der Prozessoren 


Verbringt das Programm etwa 
1% seiner Laufzeit mit sequen- 
ziellen Aufgaben (P=99/100) 
und läuft es auf 32 Prozesso- 


Java Community Process JSR- 
166 (s. iX-Link). Ergebnisse 
hieraus sind inzwischen in das 
Paket java.util.concurrent (ab 
Java 5) eingeflossen, und der 
Prozess der Integration paral- 
leler Algorithmen in die Ja- 
va-Standardbibliothek schrei- 
tet weiter voran. So wird das 
kommende Java 7 unter an- 
derem Implementierungen 
zum parallelen Suchen und 


ren, ist S ungefähr 24. Gegen- 
über der vollständigen Paral- 
lelisierung, bei der S=32 wä- 
re, entfallen also rund 8/32 
auf den sequenziellen Teil — 
ein Viertel der Gesamtlauf- 
zeit. Doppelt so viele CPUs 
treiben S auf 39 hoch, und auf 
den sequenziellen Teil entfal- 
len in diesem Fall 25/64, also 
fast 40 %. 


Sortieren von Datenfeldern 
enthalten. 

Bedingt durch den geringen 
Komfort und die hohe Kom- 
plexität — insbesondere beim 
Beseitigen von Hürden wie 
Race-Conditions und Dead- 
locks — hält sich die Verwen- 
dung und Verbreitung von 
Threads stark in Grenzen und 
ist außerhalb der GUI-Pro- 
grammierung kaum anzutref- 


Collectors erreichen. 


A-TRACT 


© Multi-Core-Systeme lassen sich durch parallelisierte 
Java-Programme besser nutzen, sodass sie schneller laufen. 


© Vorteile durch Parallelisierung können Entwickler in der 
Java-VM etwa durch Wahl eines passenden Garbage 


© Von nebenläufigen Algorithmen in Bibliotheken, beispiels- 
weise zum Sortieren, profitieren alle Anwendungen. 


© Das Parallelisieren der Anwendung selbst erfordert eine 
genaue Untersuchung des verwendeten Algorithmus, denn 
ungeschicktes Vorgehen kann ihn sogar verlangsamen. 
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Parallelisierung 


Mit dem in Netbeans integrierten Profiler lassen sich 
Threads visualisieren (links für die sequenzielle, rechts für 
die parallele Implementierung des Rabin-Miller-Tests). 
Grüne Balken stehen für laufende, gelbe und violette für 


fen. Bei J2EE verwendet man 
sogar gezielt ein sehr einfa- 
ches Thread-Modell, das Ent- 
wicklern die Arbeit erleichtern 
soll. Eine goldene Designregel 
besagt beispielsweise, dass 
Servlets oder EJB keine 
Threads erzeugen sollten, da- 
mit das Threading exklusiv 
unter der Kontrolle des Web- 
Applikationsservers verbleibt. 
Einen Kompromiss bildete der 
Application Server Work 
Manager [2], der Entwicklern 
Methoden zur Implementie- 
rung nebenläufiger Web-Ap- 
plikationen an die Hand gab 
und dem Server dennoch die 
Kontrolle über die Threads be- 
ließ. Dieses Projekt ist inzwi- 
schen eingestellt. 


Alternativen 
für Parallelisierung 


Aufgrund dieser nicht auf Ja- 
va beschränkten Schwierig- 
keiten beim Verwenden von 
Threads haben sich in den 
letzten Jahren alternative An- 
sätze für parallele Algorith- 
men auf SMP-Systemen eta- 
bliert, darunter die daten- und 
die aufgabenorientierte Pa- 


Listing 2: Optimierter paralleler 
bi iller-Pri hl Rabin-Miller-T 
Der Rabın-Miller-Primzanhltest abin-Miller-Test 
int cpucount = Runtine.getäuntine() .availableProcessors(); 
Der folgende Algorithmus testet, ob eine natürliche Zahl n nach dem Rabin-Miller- a ls 
: : : 0 
Verfahren eine Primzahl ist: ArrayList<CreatePrine> prineGen = new ArrayList<CreatePrine>(); 
Ei for (int e = 0; c < cpulount; c++) { 
1. Wiederhole 100-mal: prineden.add(neu CreatePrine()); 
1.1 Wähle a € {2 und n-1} n = pool. invokeAny(prineten); 
% R s s ArrayList<TestPrime> primeTesters = new ArrayList<TestPrime>(); 
1.2 Wenn witness(n, a)=FALSCH: Abbruch; n ist keine Primzahl for int tel; t< 9; te) { 
I1 Wähle zufälliges a 
2.n ist Rabin-Miller-prim ' prineTesters.add(nen TestPrineln,a)); 
Der dabei verwendete Zeugentest witness(n, a) ist wie folgt definiert: testResults = pool.invokeAll(prineTesters); 
} uhile(IcheckResults(testResults) 
1. Wähle u, € N mit u ungerade und ?'u=n-1 u ER 
class CreatePrine implement Callable { 
2 Überprüfe ob eilt: a"=1modn public BigInteger callO) { 
z z ; -i do { 
j” . a \ 3 ee /1 Wähle zufälliges n und a 
3. Überprüfe, ob gilt: es gibtein O<r<tmit: a =-Imodn Kunlelluttnesinall; 
4. Falls 2 ODER 3 erfüllt Ergebnis: WAHR, sonst Ergebnis: FALSCH } 
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wartende Threads. 


rallelisierung. Datenparallele 
Verarbeitung ist dadurch ge- 
kennzeichnet, dass derselbe 
Algorithmus gleichzeitig auf 
unabhängigen Eingabedaten 
läuft, meist mit der Ein- 
schränkung, exakt dem glei- 
chen Programmfluss zu fol- 
gen. Die aufgabenorientierte 
Parallelisierung entspricht da- 
gegen „Threads auf Miniatur- 
ebene“. Neben dem Verste- 
cken der Thread-Komplexität 
hinter einer höheren Abstrak- 
tion geht es darum, die Auf- 
gabe in möglichst viele unab- 
hängige Teile (Tasks) zu 
zerlegen, die auf beliebig vie- 
len Prozessorkernen laufen. 
Dabei gilt es jedoch, eine ge- 
wisse Größe der Tasks nicht 
zu unterschreiten, damit sich 
der durch ihr Erzeugen, Ver- 
walten und Synchronisieren 
erzwungene ÖOverhead in 
Grenzen hält. Viele kleine, 
unabhängige Tasks sichern 
eine gewisse Skalierbarkeit 
auf zukünftigen Systemen 
ebenso wie eine gleichmäßi- 
ge Lastverteilung auf die 
CPUs. Des Weiteren erledigt 
die Applikation eigenständig 
die Tasks, während sie der 
JVM beziehungsweise dem 
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Betriebssystem nur eine über- 
schaubare Anzahl aktiver Ar- 
beitsthreads präsentiert. 

Die einfachste Form eines 
solchen Schedulers ist ein 
Pool von Threads, die paral- 
lel eine Liste vwartender 
Tasks abarbeiten. Ein solches 
Verfahren zog mit Java 5 in 
den Standard ein. Seine Ver- 
wendung illustriert hier der 
Rabin-Miller-Test [3]. Er ist 
einer der wichtigsten Algo- 
rithmen zum Testen großer 
Zahlen auf die Eigenschaft 
„prim“. Es handelt sich um 
ein probabilistisches Verfah- 
ren, dessen Ergebnis nur mit 
einer gewissen Wahrschein- 
lichkeit korrekt ist. Durch 
mehrfache Wiederholung des 
Tests kann man die Wahr- 
scheinlichkeit einer Falsch- 
aussage so weit reduzieren, 
dass sie für praktische Belan- 
ge Null ist. 

Im Wesentlichen funkti- 
oniert der Rabin-Miller-Test 
folgendermaßen: Zunächst 
wählt man zufällig eine Zahl 
n als Primzahlkandidaten. Da- 
nach prüft der Algorithmus 
für eine zufällig zwischen 2 
und n-/ gewählte Zahl a, ob 
sie ein sogenannter „Belas- 


® 
s 
® 
s 
S 
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tungszeuge“ dafür ist, dass n 
eine Primzahl ist (s. Kasten 
„Der Rabin-Miller-Test‘“). 


Wahrscheinlich 


eine Primzahl 


Ist das Ergebnis falsch, kann 
dieses n keine Primzahl sein; 
es kommt ein neues ins Spiel. 
Ein wahres Resultat erhöht 
die Wahrscheinlichkeit, dass n 
eine Primzahl ist, und der 
Text wird für einen weiteren 
Zeugen a ausgeführt. Diesen 
Schritt wiederholt man bis 
zu einer vorher bestimmten 
Grenze (beispielsweise 100). 
Fällt auch der letzte Test po- 
sitiv aus, darf n mit hoher 
Wahrscheinlichkeit als Prim- 
zahl gelten. 

Zur Parallelisierung bieten 
sich bei diesem Algorithmus 
zwei Ansatzpunkte an. Da 
zum Finden einer einzigen 
Primzahl eine große Menge 
von Kandidaten nötig ist, 
kann ihre Erzeugung parallel 
stattfinden. Weiterhin lassen 
sich für jeden Kandidaten die 
Zeugentests gleichzeitig aus- 
führen. Listing 1 zeigt den 
(vereinfachten) Programm- 
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code, der den Zeugentest mit 
einem Java-Thread-Pools pa- 
rallelisiert. Er bekommt eine 
Liste von „Aufträgen“ in 
Form von Objekten überge- 
ben, die das Callable-Inter- 
face implementieren. Hier 
sind dies Objekte der Klasse 
TestPrime, die bei Aufruf 
den Zeugentest für ein n und 
ein a ausführen. 

Dieser intuitive Ansatz zur 
Parallelisierung des Rabin- 
Miller-Tests führt zu einem 
unerwarteten Ergebnis: Er ist 
deutlich langsamer als eine 
sequenzielle Umsetzung. Ei- 
ne Analyse des Laufzeitver- 
haltens enthüllt schnell den 
Grund: Die Anzahl der für 
ein n befragten Zeugen ist 
nicht über den Bereich von 1 
bis 100 gleichverteilt. Fast 
immer findet nur ein Test ei- 
nes oder aller 100 Zeugen 
statt, weil entweder nach dem 
ersten bewiesen ist, dass n 
keine Primzahl ist, oder n ist 
Rabin-Miller-prim. Denn die 
Wahrscheinlichkeit, dass eine 
zusammengesetzte Zahl auch 
nur einen Zeugentest besteht, 
geht für große n gegen 0. So 
zeigen Damgärd und seine 
Kollegen in [4], dass sie für 
600 Bit lange Zahlen bereits 
kleiner als 27° ist. 

Die vorgestellte parallele 
Implementierung startet des- 
halb in vielen Fällen zu viele 
Zeugentests. Ein verbesserter 
Algorithmus führt daher den 
ersten Zeugentest sequenziell 
nach der Wahl von n durch 
und die restlichen 99 wie 
oben parallel. Listing 2 zeigt 
die verbesserte Variante mit 
einer parallelen Erzeugung 
von Primzahlkandidaten. Auf 
einem System mit acht Pro- 
zessorkernen benötigt dieses 


Programm nur 30 % der 
Laufzeit der sequenziellen 
Variante. 

Was nach dem Benutzen 
parallelisierter Bibliotheken 
als sequenzieller Programm- 
code verbleibt, sollte vor- 
nehmlich der Ablaufkontrol- 
le und Benutzer-Interaktion 
dienen. Oftmals verbringt die 
Applikation aber viel Zeit in 
proprietären Komponenten. 
In diesem Fall muss man 
über Möglichkeiten der Pa- 
rallelisierung nachdenken, 
wenn man Skalierung auf 
Mehrkern-Systemen sicher- 
stellen möchte. Dazu eignen 
sich wie bei der Bibliotheks- 
schicht aufgaben- oder daten- 
parallele Verarbeitung. 


Profiling hilft beim 


Parallelisieren 


Bleibt die Frage, ob und wie 
man zeitkritische Komponen- 
ten im eigenen Applikations- 
code entdeckt, um Maßnah- 
men zu ihrer Parallelisierung 
ergreifen zu können. Von je- 
her helfen von der JVM 
generierte Profiling-Informa- 
tionen bei der Analyse einer 
Java-Anwendung etwa mit 
HPROF (s. iX-Link). Deut- 
lich mehr Komfort bieten die 
Profiling-Tools der verbreite- 
ten IDEs. Sie erlauben nicht 
nur, die zeitkritischen Teile 
der Applikation zu finden, 
sondern in weiteren Ausbau- 
stufen auch hakende Thread- 
Interaktionen (Kommunika- 
tion, Abhängigkeiten und so 
weiter) zu visualisieren. Bei- 
spiele dafür zeigt die Abbil- 
dung auf der vorigen Seite. 
Leider ist der folgende 
Schritt des Refactorings des 


zeitkritischen Teils noch kaum 
zu automatisieren. Wenn pas- 
send, ist das aufgabenparalle- 
le Modell ein simpler, aber 
effektiver Ansatz, berech- 
nungsintensive Algorithmen 
auf mehrere Prozessoren zu 
verteilen. Graph-Traversierun- 
gen, Raytracing und Video- 
Codecs mit komplizierterem 
Programmfluss (H.264) pro- 
fitieren beispielsweise davon. 


Fazit 


Der Anteil an parallelem Code 
in Standard-Softwarekompo- 
nenten dürfte in Zukunft zu- 
nehmen. Das vergleichsweise 
einfache Beispiel des Rabin- 
Miller-Tests zeigt, dass Paral- 
lelverarbeitung naturgemäß 
komplex ist und deshalb nicht 
zum Repertoire jedes Informa- 
tikers gehören kann. Aus die- 
sem Grund kommt Verfahren 
zum Verbergen dieser Kom- 
plexität eine besondere Bedeu- 
tung zu. 

Java bietet bereits Mecha- 
nismen und Stellschrauben in 
der JVM sowie Abstraktionen 
zum Umgang mit aufgaben- 
orientierter Parallelität. Bleibt 
zu hoffen, dass dieser Trend 
zur Parallelisierung sich in 
fundamentalen Frameworks 
fortsetzt, sodass Entwickler 
immer weniger parallelen 
Code selbst implementieren 
müssen. (ck) 
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Aktuelle Techniken und Methoden 
fürs Media Streaming 


Turbulente 
Strömungen 


Horst Eidenberger 


Videoportale und IPTV (IP Television) erobern 
das Internet. Doch das Übertragen zeitab- 
hängiger Daten in Echtzeit - sogenanntes 
Streaming - stellt hohe Anforderungen an 
die Infrastruktur, die das paketvermittelte 
IP-Netz nicht immer erfüllen kann. 
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icht immer handelt es 


Multimedia 
sich bei der Bereitstel- 


N lung von Videos im 


Internet um echtes Streaming. 
Youtube etwa sendet die Daten 
per gewöhnlichem HTTP- 
Download. Progressives Her- 
unterladen und Caching er- 
lauben es, den Datenstrom 
wiederzugeben, bevor er voll- 
ständig vorliegt. Die Methode 
kommt häufig bei vergleichs- 
weise kurzen Videoclips mit 
geringen Qualitätsanforderun- 
gen zum Einsatz. 

Streaming in Echtzeit fin- 
det man eher beim Video On 
Demand (VOD), das ganze 
Kinofilme in hoher Qualität 
und bisweilen zu mehreren 
Empfängern gleichzeitig über- 
tragen muss. Near Video On 
Demand (NVOD) ist ein ähn- 
liches Verfahren, bei dem 
man Datenströme in fixen 
Zeitintervallen staffelt und 
wiederholt. 

Unter einem Vodcast ver- 
steht man die Übertragung 
von Videos per Podcast. Da- 
bei handelt es sich wiederum 
nicht um echtes Streaming, 
sondern um eine Download- 
Anwendung. Als Peercast 
schließlich bezeichnet man 
die — zurzeit experimentelle — 
Übertragung von Videodaten- 
strömen in P2P-Netzen. 


Datenströme 
in Pakete zerlegt 


Ob VOD, NVOD oder Peer- 
cast — Streaming-Systeme be- 
stehen stets aus den gleichen 
Komponenten (siehe Abbil- 
dung 1). Der Streaming-Ser- 
ver erhält seine Datenströme 
— aus der Konserve oder live 
erfasst von einer externen 
Quelle - in kodierter Form, 
eingeteilt in gleichartige Seg- 
mente (Chunks). Die über- 
trägt er auf Anfrage zu den 
Streaming-Clients. Um die 
Last auf dem Server zu mini- 
mieren, legt man die Chunks 
häufig nachgefragter Daten- 
ströme in einem Cache ab. 
Der Sender muss lediglich 
Paket-Header mit Zeitstem- 
peln, Reihungsinformationen 
und Qualitätsangaben für das 


verwendete Streaming-Proto- 
koll hinzufügen. 

Der Client entpackt die 
Daten und stellt den Medien- 
datenstrom wieder her. Er- 
laubt das Netz eine schnellere 
Datenübertragung, als man sie 
für Echtzeit braucht, kann er 
noch nicht benötigte Chunks 
wiederum in einem Cache ab- 
legen. 


Taktgefühl 


ist unerlässlich 


Schwierigkeiten ergeben sich 
hauptsächlich durch die Be- 
lastung des Servers und den 
Verlust beziehungsweise die 
Verzögerung von Paketen auf 
dem Übertragungsweg (Qua- 
lity of Service, kurz QoS). 
Während man die Server-Last 
durch leistungsstarke Hard- 
ware und ausgefeilte Caching- 
Verfahren relativ einfach in 
den Griff bekommen kann, 
bleibt Quality of Service ein 
Dauerthema. Die Unwägbar- 
keiten der Paketvermittlung 
im IP-Netz (Flaschenhälse, 
Paketverluste et cetera) führen 
beim Client vor allem zu De- 
lay und Jitter. Unter Delay 
versteht man die gleichförmi- 
ge Verzögerung des Daten- 
stroms; Jitter bezeichnet vari- 
able Zeitabstände zwischen 
Chunks. Während eine Verzö- 
gerung von bis zu einigen Se- 
kunden für die meisten Men- 
schen noch erträglich ist, führt 
Jitter zu unangenehmem Ru- 
ckeln von Bildteilen sowie 
teilweisen Bildausfällen und 
sollte daher vollständig ver- 
mieden werden. Bislang kann 
jedoch kein Verfahren zur 
Priorisierung des Routings 
von Mediendatenpaketen im 
Internet ausreichende Q0S 
garantieren. 

In den vergangenen Jahren 
haben die Leistungssteige- 
rung der PC-Hardware und 
der Ausbau der Internet-In- 
frastruktur zur Verbreitung 
von Videodiensten und -an- 
wendungen beigetragen. Im 
Sog dieser Entwicklung ent- 
standen effizientere Kodier- 
verfahren und Containerfor- 
mate wie MPEG-4/H.264 
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und Flash Video (FLV). 
Trotz der Unterstützung mo- 
derner Protokolle auf den 
Internet-Routern bleibt QoS 
jedoch bis auf Weiteres außer 
Reichweite. 


Neue Codecs mit 
hoher Kompression 


Insbesondere Videodatenströ- 
me sind zu breitbandig für ei- 
ne unkomprimierte Übertra- 
gung. Der aktuelle Trend zu 
High-Definition-Medien mit 
hoher Auflösung und Frame- 
rate lässt die Anforderungen 
weiter steigen. Das schränkt 
die Zahl der verwendbaren 
Codecs ein. Heute kommen 
vor allem Sorensen (Apple 
Quicktime), Windows Media 
(Microsoft) und MPEG 4 zum 
Einsatz (siehe Abbildung 2). 
In dem aus vielen Teilen be- 
stehenden MPEG-4-Standard 
sind insbesondere Part 2 (der 
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Lieferkette: Das IP-Netz verursacht beim Streamen die meisten Schwierigkeiten (Abb. 1). 


Codec) und Part 10 (Advanced 
Video Coding, AVC) rele- 
vant. Letzterer ist lediglich ein 
Verweis auf den H.264-Codec 
der International Telecommu- 
nication Union (ITU). 

H.264 repräsentiert mit 
skalierbarer Kodierung, mul- 
tiplen Bewegungsvektoren 
und vielen anderen Features 
den aktuellen Stand der 
Video-Kompressionstechnik. 
Der Codec kommt unter ande- 
rem bei der Blu-Ray-Disc 
zum Einsatz. Sein designierter 
Nachfolger H.265 befindet 
sich noch in der Entwurfspha- 
se und ist nicht vor 2012 zu 


Version soll er bis zu fünfzig 
Prozent schneller arbeiten als 
H.264. 

Bei den Containerformaten 
gibt es hingegen wenig Neu- 
es. Die proprietären Klassiker 
Quicktime und Windows Me- 
dia konkurrieren mit dem of- 
fenen MPEG-Format (nur für 
MPEG-Codecs) und Adobes 
relativ neuem Flash-Video- 
Format (FLV). Ursprünglich 
ausschließlich für die eigenen 
Codecs gedacht, unterstützt 
FLV seit Version 9 auch 
H.264 sowie den MPEG-4- 
Audiostandard Advanced 
Audio Coding (AAC). Aller- 


tion eines Containerformates, 
dem Multiplexen von Audio- 
und Videodatenströmen, im 
Streaming kaum Bedeutung 
zu: Die meisten Verfahren 
folgen dem Ansatz des Real- 
Time Transport Protocol 
(RTP), Audio und Video ge- 
trennt zu paketieren und zu 
übertragen. 

Den offenen Streaming- 
Protokollen stehen ebenso 
viele proprietäre gegenüber. 
Auf der Anwendungsschicht 
etwa konkurriert das Real- 
Time Streaming Protocol 
(RTSP) mit Microsofts - 
mittlerweile offiziell aufge- 


„klassische“ MPEG-4-Video- erwarten. In der endgültigen dings kommt der Kernfunk- gebenem -— Media Server 
S 
04 
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Multimedia 


RTP: A Transport Protocol For Real-Time Applications [RFC 3550) 


tools.ietf.org/html/rfc3550 


An Architecture for Differentiated Services [RFC 2475) 


tools.ietf.org/html/rfc2475 


International Telecommunication Union (TU) 


www.itu.int 


Moving Picture Exprts Group [MPEG] 


www.mpeg.org 


Protocol MMS. RTSP ähnelt 
HTTP und bietet Steuerungs- 
funktionen zum Abspielen, 
Pausieren und Aufnehmen 
von Mediendatenströmen. Der 
Standard basiert auf einer äl- 
teren Version des Real-Time 
Transport Protocol. 


Datenströme auf 
mehreren Wegen 


RTP wurde 2003 überarbeitet 
und als RFC 3550 neu veröf- 
fentlicht (siehe Kasten „On- 
linequellen“). Dabei hat sich 
die Funktionsweise aller- 
dings kaum geändert. Nach 
wie vor trennt das Protokoll 
Daten nach Medientypen; für 
die heute relevanten Codecs 
kamen neue Payload-Typen 
hinzu. Für die Kontrolle der 
Übertragungsqualität zeich- 
net weiterhin das eingebet- 
tete Real-Time Transport 
Control Protocol (RTCP) 


verantwortlich. Es zählt unter 
anderem die verloren gegange- 
nen und verspäteten Daten- 
pakete. RTP ist hauptsächlich 
für den verbindungslosen Ein- 
satz mit UDP gedacht, kann 
nun aber auch TCP-Verbin- 
dungen nutzen. Letzteres ist 
allerdings nur in leistungsfä- 
higen Netzen sinnvoll, etwa 
im LAN. Ebenfalls neu hin- 
zugekommen ist SRTP (Se- 
cure RTP), das die Protokoll- 
daten nach dem Advanced 
Encryption Standard (AES) 
verschlüsselt. 

Neben RTP entstanden in 
den letzten Jahren zahlreiche 
proprietäre Protokolle. Her- 
vorzuheben ist das für die 
Übertragung von Flash-Daten 
entwickelte Real-Time Mes- 
saging Protocol (RTMP) von 
Adobe. Im Gegensatz zu RTP 
überträgt RTMP alle Medien- 
daten über einen einzigen 
TCP-Kanal. Dazu ist es not- 
wendig, die Chunks der ein- 
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Echte Streaming-Protokolle wie RTSP und RTP konkurrieren 
mit anwendungsfremden wie HTTP und TCP. Offene 
Standards sind hellblau hinterlegt, proprietäre dunkelblau 


(Abb. 2). 
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zelnen Datenströme (Video, 
Audio) zu multiplexen. Da 
Chunks üblicherweise kurz 
sind, etwa 128 Byte, stattet 
RTMP die gemultiplexten 
Daten mit einem einzigen 
Paket-Header aus, der auf- 
grund der Verwendung von 
TCP nur wenig zusätzliche 
Informationen enthält und 
damit einen geringen Over- 
head verursacht. Außerdem 
kann RTMP Mediendaten in 
einem HTTP-Tunnel übertra- 
gen, etwa durch eine Fire- 
wall. Als Variante hat Adobe 
das Real-Time Media Flow 
Protocol (RTMFP) definiert. 
Es nutzt UDP und erlaubt da- 
her schnelleren Transport, 
benötigt aber auch komplexe- 
re Paket-Header. 


TCP gewinnt an 
Bedeutung 


Auf der Transportschicht 
(Transport Layer) sieht sich 
das klassische Streaming- 
Protokoll UDP zunehmend 
der Konkurrenz von TCP 
ausgesetzt. In schnelleren 
Netzen überwiegen die Vor- 
teile eines verbindungsorien- 
tierten Protokolls — gesicherte 
Übertragung und Fehlerkor- 
rektur — die der ressourcen- 
sparenden verbindungslosen 
Übertragung. Neben den bei- 
den Internet-Standards ist das 
Real Data Transport Protocol 
(RDT) von Real Networks zu 
nennen, das aber außerhalb 
des hauseigenen Helix-Strea- 
ming-Servers kaum zum Ein- 
satz kommt. 

In der Netzschicht regiert 
weiterhin IPv4. Erweiterun- 
gen wie das IP Multimedia 
Subsystem (IMS) bleiben auf 
mobile Anwendungen be- 
schränkt. Daran dürfte sich 
auch mit IPv6 kaum etwas än- 
dern. Solange keine streaming- 
freundlicheren Strukturen in 
das paketvermittelte Internet 
einziehen, sind die Möglich- 
keiten für Quality of Service 
jedoch stark eingeschränkt. 
Die vom Internet-Protokoll 
gebotene Best-Effort-Strate- 
gie ist für Mediendatenströme 
nicht akzeptabel. 


Der ursprüngliche QoS- 
Ansatz — Reservierung eines 
Netzes vor der Datenübertra- 
gung (bekannt als Integrated 
Services, kurz IntServ) - ist 
zwar in kleinen Firmennetz- 
werken anwendbar. In der 
Weite des Internet aber nicht. 
Dort bleibt als Ausweg nur 
der IP-Multicast und das 
Hoffen auf Priorisierung der 
zeitkritischen Pakete durch 
die beteiligten Router. Dazu 
existiert mit den Differential 
Services (DiffServ) ein Klas- 
sifizierungs-Schema für Da- 
tenpakete, das von Best Ef- 
fort (niedrigste Priorität) über 
Controlled Load (Echtzeitan- 
forderung für Mediendaten) 
bis hin zu Reserved-Traffic- 
Klassen mit maximalen Ver- 
zögerungen von 100 bezie- 
hungsweise 10 Millisekunden 
reicht. Die Einhaltung der 
Prioritäten steht und fällt je- 
doch mit der eingesetzten 
Router-Hard- und -Software. 


Fazit 


Der Königsweg beim Strea- 
men bleibt die Verwendung 
der offenen Protokolle RTSP, 
RTP/RTCP und UDP. Dabei 
sollten — falls möglich — auf 
der IP-Ebene Differential 
Services zur Sicherstellung 
der Quality of Service zum 
Einsatz kommen. Zur Opti- 
mierung der Videoqualität 
empfiehlt sich das Medien- 
format MPEG-4 Part 10 
(H.264). Grundlegend neue 
Konzepte wie Peer-Strea- 
ming sind noch weit von der 
täglichen Anwendung ent- 
fernt. Beim Peercasting ist 
aufgrund der zu erwartenden 
rechtlichen Schwierigkeiten 
zudem fraglich, ob es sich 
jemals auf breiter Fläche 
durchsetzen kann. (mr) 
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Softwarearchitekturen 


Systematisches Softwaredesign in der Nussschale 


Bubbles don’t cras 


Michael Stal 


Der Erfolg eines Softwareprojekts steht und fällt mit der Architektur 
eines Systems. Nicht immer führen anfängliche schnelle Erfolge zu 
einer stabilen Software. Mit welchen Herausforderungen sich ein 
Softwarearchitekt initial und im Laufe des Projekts konfrontiert sieht, 
lässt sich am Beispiel des fiktiven Bob nachvollziehen. 


ach seiner Umschu- 
N lung zum Softwareent- 

wickler steht Bob, der 
Baumeister, vor der ersten 
großen Herausforderung. Zu- 
sammen mit anderen Lei- 
densgenossen soll er die Soft- 
warearchitektur für einen 
Webshop erstellen. Was er 
zunächst für ein lächerlich 
einfaches Projekt hielt, er- 
weist sich auf dem zweiten 
Blick als ganz und gar nicht 
trivial. Vor ihm steht bedroh- 
lich ein weißes, bislang gäh- 
nend leeres Flip-Chart. Es 
scheint sehnsüchtig darauf zu 
warten, dass Bob es mit archi- 
tektonischen Entwürfen füllt. 
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Bob sieht sich mit diversen 
Herausforderungen konfron- 
tiert. Er muss überlegen, wel- 
ches der erste Schritt im Ar- 
chitekturentwurf ist, und wie 
er anschließend systematisch 
das Softwaresystem erstellt. 
Außerdem muss er sich klar- 
machen, welche Informationen 
und Voraussetzungen zu ge- 
währleisten sind. Dieser Arti- 
kel konzentriert sich ganz auf 
diese architektonische Brille. 
Details wie der Entwicklungs- 
prozess oder die Rolle des Ar- 
chitekten sind nicht Gegen- 
stand der Betrachtungen. 

Offensichtlich benötigt der 
Softwarearchitekt Bob am An- 


fang eine Liste von hin- 
reichend detaillierten Anfor- 
derungen, allesamt mit ein- 
deutigen Prioritäten versehen. 
Wie vollständig eine solche 
Liste sein muss, daran schei- 
den sich bisweilen die Geister. 
Dass schon zu Beginn alle An- 
forderungen vorliegen, ent- 
spricht zwar dem Ideal, dürfte 
aber bei komplexeren Projek- 
ten dem Finden des heiligen 
Grals gleichkommen. Übri- 
gens mit ein Grund dafür, wa- 
rum Wasserfallmodelle sich 
oft als Sackgasse erwiesen ha- 
ben. Einer „Mission Impos- 
sible“ gleicht das andere Ex- 
trem, das mit keinen oder 


wenigen Anforderungen aus- 
kommen will. Es führt letzt- 
endlich zu übergenerischen 
Softwarearchitekturen, die es 
keinem recht machen können, 
weil sie es allen recht machen 
wollen. Die Wahrheit liegt also 
irgendwo in der Mitte. 


Conditio 
sine qua non 


Je mehr architektonisch signi- 
fikante Anforderungen be- 
kannt sind, desto stabiler das 
architektonische Fundament. 
Damit sich der Architekt in 
Konfliktsituationen für das 
richtige Vorgehen entscheiden 
kann - ähnlich der Rechts-vor- 
links-Regel im Straßenverkehr 
- sollten diese Anforderungen 
eindeutige Prioritäten besitzen. 
Meistens stammen die Anfor- 
derungen nicht von den Soft- 
wareentwicklern, sondern von 
Anforderungsingenieuren, Pro- 
duktmanagern oder Kunden. 
Daher kommt der Kommuni- 
kation mit dem genannten Per- 
sonenkreis essenzielle Bedeu- 
tung zu, was bedeutet, dass 
sich der Alltag des Softwarear- 
chitekten nicht auf technische 
Aspekte beschränkt. Nicht im- 
mer sind die Anforderungen 
verständlich, detailliert und 
widerspruchsfrei formuliert 
oder haben eindeutige Prioritä- 
ten. Hier heißt es oft, intensiv 
nachzubohren und bisweilen 
Überzeugungsarbeit zu leisten. 

Damit Softwarearchitekten 
in einem konkreten Projekt die 
Ziele ihrer Organisation oder 
ihrer Kunden unterstützen 
können, benötigen sie grundle- 
gendes Wissen über geschäft- 
liche Aspekte. Je nach Kontext 
kann es zum Beispiel in einem 
Fall sinnvoll sein, wichtige 
Teile des Systems mithilfe 
von Offshoring-Maßnahmen 
zu entwickeln und die Archi- 
tektur entsprechend zu planen, 
während sich dieses Vorgehen 
in einem anderen Fall voll- 
kommen verbietet. Zudem 
lässt sich manche geschäftliche 
Zielvorgabe überhaupt nicht 
umsetzen, zumindest nicht mit 
vernünftigem Aufwand. Ba- 
siswissen über grundlegende 
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Instrumente und nichttechni- 
sche Softwarearchitekturas- 
pekte erweist sich daher in 
diesem Zusammenhang als 
unbedingt erforderlich. 

Zu guter Letzt müssen Soft- 
warearchitekten sowohl die 
fachliche Problemdomäne als 
auch die technischen Lösungs- 
domänen verstehen. Fehlt ih- 
nen die geistige Durchdrin- 
gung der Fachdomäne, bleibt 
die Problemstellung im Dun- 
keln. Haben sie nur unzurei- 
chende Kenntnisse der Lö- 
sungsdomänen, können sie 
keine technisch fundierten Er- 
gebnisse erzielen. Wie sagte 
Bertrand Meyer einst so schön: 
„Bubbles don’t crash.“ 


Softwarearchitektur 
- was ist das? 


Bob denkt an seine Umschu- 
lung zurück. Für den Begriff 
„Softwarearchitektur“ gibt es 
mindestens ebenso viele Defi- 
nitionen, wie die Menschheit 
Gottesbeweise hervorgebracht 
hat. Zum Glück besitzen die 
diversen Definitionen mehr 
Gemeinsamkeiten als Unter- 
schiede. Softwarearchitektur 
beschreibt demnach die Kom- 
position eines Softwaresys- 
tems aus Subsystemen, deren 
Beziehungen zueinander so- 
wie die Grundprinzipien, mit 
deren Hilfe die Architekten 
die Anwendung erstellen. 
Hinzuzufügen ist an dieser 
Stelle, dass der Blick auf eine 
Softwarearchitektur immer aus 
verschiedenen Perspektiven 
(Viewpoints) erfolgen muss. 
Demzufolge geben die verbrei- 
teten Diagramme, die lediglich 
eine Menge von Rechtecken 


über eine Menge von Linien 
verbinden, nicht wirklich die 
Softwarearchitektur wieder. Es 
bedarf stattdessen weiterer Be- 
schreibungen des Systems, et- 
wa der Interaktionen zwischen 
den Komponenten oder der 
Systemzustände. Und da bloße 
Syntax nichts anderes reprä- 
sentiert als Kreidehaufen, ge- 
hört zur Softwarearchitektur 
neben dem „Was“ immer auch 
das „Warum“, also das Ratio- 
nale für alle architektoni- 
schen Entscheidungen. Mit 
einer Sammlung von UML- 
Diagrammen ist es demnach 
nicht getan. 

Aber was hat es mit den 
ominösen Grundprinzipen auf 
sich, die sich in der obigen De- 
finition verstecken, fragt sich 
Bob. Dass viele Köche den 
Brei verderben, gilt nicht zu- 
letzt auch für die Software- 
entwicklung. Wenn ein Ent- 
wickler zur Fehlerbehandlung 
Ausnahmen wirft, während ein 
anderer Fehlerwerte zurück- 
gibt und ein dritter Informatio- 
nen in ein Logbuch schreibt, 
befinden sich unvermittelt drei 
Varianten der Fehlerbehand- 
lung im System. Treten zudem 
im selben Architekturentwurf 
verschiedene Softwaremuster 
zur Lösung ähnlicher Problem- 
stellungen auf, leidet die dar- 
aus resultierende Softwarear- 
chitektur an Qualitätsmängeln, 
beispielsweise an schlechter 
Verständlichkeit und geringer 
Symmetrie. Daher sollten Bob 
und seine Koarchitekten schon 
zu Beginn des Projekts dafür 
sorgen, dass sie einheitliche 
Entwurfskonventionen und 
-regeln einführen. Mit der Er- 
stellung von Dokumenten ist 
es allerdings nicht getan. Viel- 


zum taktischen Design. 


A-TRACT 


@ Softwarearchitekten sind dafür verantwortlich, alle Fäden 
in der Hand zu halten. Sie benötigen hierfür fachliches 
Wissen, Domänenkenntnisse und soziale Fähigkeiten. 


© Anforderungen fließen systematisch in den Systementwurf ein, 
beginnend mit einem funktionalen Kern, über strategisches bis 


© Das Nutzen von Softwaremustern sorgt für mehr Produktivität, 
da es hilft, unnötige Kosten zu vermeiden. 
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Anforderungen 
ermitteln 


Evaluieren und 
Verfeinern der 
Architektur 


Feedback-Schleife 


Refaktorieren 
der Architektur 


ausführbare 
Architektur 


Ein systematischer Prozess für den Architekturentwurf ist 
inkrementell und ermittelt zu Beginn alle architektonisch 
relevanten Anforderungen (Abb. 1). 


funktionaler Kern 


Verteilungs- und Nebenläufigkeits- 
Infrastruktur 


strategische Anforderungen 
hohe ... niedrige Priorität 


taktische Anforderungen 
hohe ... niedrige Priorität 


Das Zwiebelmodell veranschaulicht die richtige Reihenfolge 
beim Entwurf: Zuerst die fachlichen Aspekte, dann die 
nichtfachlichen, jeweils mit absteigender Tendenz (Abb. 2). 


mehr müssen sie die Einhal- 
tung aller Vorgaben und Kon- 
ventionen auch regelmäßig 
kontrollieren. 


Prioritäten des 
Zwiebelmodells 


Das Prinzip der systemati- 
schen Architekturerstellung 
lässt sich am besten anhand 
einer Zwiebel illustrieren, was 
nicht nur daran liegt, dass die 
architektonischen Anstren- 
gungen Bob bisweilen Tränen 
in die Augen treiben. Zu Be- 
ginn des Entwurfs und damit 
im Kern des Zwiebelmodells 
steht das fachliche Objektmo- 
dell. Bob überlegt, aus wel- 
chen fachlichen Entitäten sich 
ein Webshop zusammensetzt. 
Da wären zum Beispiel der 
Produktkatalog, der Waren- 
korb, das Zahlungssubsystem, 
die Kundendatenbank, das 
Logistik- und das Bestellsys- 
tem. Natürlich fristen diese 
Objekte kein Inseldasein, son- 
dern haben Beziehungen zu- 
einander. Ein Warenkorb 
muss mit dem Produktkata- 
log interagieren, ebenso mit 
dem Bezahlsystem. 

Fragt sich, wie Bob diese 
Beziehungen eruieren kann. 
Im Idealfall existiert für die 
Problemstellung bereits eine 


allgemein bewährte Referenz- 
architektur für Webshops, de- 
rer er sich bedienen kann. Lei- 
der gibt es solche Vorlagen 
nur für wenige Anwendungs- 
domänen. Daher greift der 
Softwarearchitekt im Normal- 
fall zu Anwendungsszenarien 
— zu Neudeutsch Use Cases —, 
um die Erwartungen an das 
Zielsystem aus der Vogelper- 
spektive zu beschreiben, so- 
wie zu einem Kontextdia- 
gramm, um zu definieren, 
welche Entitäten sich im Sys- 
tem und welche sich außer- 
halb befinden. 

Für den Webshop ermittelt 
Bob dabei eine Reihe von 
Anwendungsfällen, etwa „Im 
Produktkatalog suchen“, „Pro- 
dukt zu Warenkorb hinzu- 
fügen“ oder „Warenkorb be- 
stellen“. Da der Kunde das 
existierende SAP-Warenwirt- 
schaftssystem zur Verwal- 
tung von Bestellungen ver- 
wenden möchte, befindet 
sich die SAP-Schnittstelle im 
Kontextdiagramm außerhalb 
des Webshops, ebenso wie das 
Logistiksystem oder die not- 
wendigen Schnittstellen zu 
Banken und Kreditkartenfir- 
men. Aus den Anwendungsfäl- 
len und dem Domänenwissen 
ergibt sich nun inkrementell 
ein grobgranulares fachliches 
Objektmodell. 
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Softwarearchitekturen 


Für den Übergang der 
von Use Cases propagierten 
Black-Box- zu einer White- 
Box-Sicht mit detaillierten 
Abläufen existiert leider kein 
Automatismus. Dass es für 
Bobs Webshop einen Anwen- 
dungsfall „Warenkorb bestel- 
len“ gibt, ist eine Sache. Wie 
die internen Komponenten zur 
Realisierung dieses Anwen- 
dungsfalles zusammen spielen 
müssen, eine ganz andere. Die 
Softwarearchitekten stützen 
sich auf ihre Domänenkennt- 
nisse, um aus Use Cases etwa 
Sequenzdiagramme abzuleiten. 


Muster erleichtern 
das Leben 


Für die generelle Strukturie- 
rung der Gesamtarchitektur 
bieten sich die sogenannten ar- 
chitektonischen Muster an, zu 
denen beispielsweise Layers, 
MVC (Model-View-Control- 
ler) oder Pipes-and-Filters ge- 
hören. Dass sich eine web- 
basierte Geschäftsanwendung 
wie Bobs Webshop gut mittels 
eines Mehrschichtenmodells 
entwerfen lässt, dürfte inzwi- 
schen zum Allgemeinwissen 
gehören. Ebenso, dass Techni- 
ken wie Ruby on Rails, JSF, 
Struts oder ASP.Net ein An- 
wenden des MVC-Musters 
forcieren. Überhaupt empfiehlt 
sich das Nutzen von Software- 
mustern für alle Granularitäts- 
ebenen des Designs, wollen 
Entwickler nicht ständig das 
Rad neu erfinden. Was wie- 
der auf die Grundprinzipien 
der Architekturerstellung zu- 
rückführt. Bobs Bibliothek 
enthält daher die entspre- 


chende Standardliteratur in 
Griffweite. 

Erfahrungsgemäß scheitern 
viele Softwareentwicklungs- 
projekte weniger an den funk- 
tionalen Aspekten. Der Knack- 
punkt besteht stattdessen oft in 
der Umsetzung nichtfunktio- 
naler Qualitäten. Die übliche 
Wunschliste operationaler Ei- 
genschaften wie 99,999 % 
Verfügbarkeit oder Skalierbar- 
keit bis 100 000 Kunden lässt 
sich ebenso wenig en passant 
realisieren wie entwicklungs- 
technische Eigenschaften & la 
leichte Änderbarkeit oder Ad- 
ministrierbarkeit. Gerade die 
operationalen Eigenschaften 
eines Softwaresystems beein- 
flussen dessen Architektur als 
Ganzes, während entwick- 
lungstechnische Eigenschaften 
oft nur lokalen Einfluss auf ei- 
nes oder wenige Subsysteme 
haben. Trotzdem stürzen sich 
viele Softwarearchitekten oft 
zuerst auf Letztere. Ein Strate- 
gy-Muster hier und da und 
vielleicht noch ganz woanders 
zur vermeintlich besseren Än- 
derbarkeit — schon krankt die 
gesamte Softwarearchitektur 
am Strategy-Syndrom und mu- 
tiert zu einem schwer be- 
herrschbaren, übergenerischen 
Softwaresystem. 


Drei Ebenen 
sind genug 


Ein systematisches Vorgehen 
sieht anders aus. Grundsätzlich 
lassen sich drei Ebenen bezie- 
hungsweise Phasen in der be- 
sagten Zwiebel unterscheiden, 
sobald Bob das fachliche Ob- 
jektmodell seines Webshops 
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Use-Case-Analyse 


Kontextdiagramm 


Use Cases repräsentieren als Black-Box-Sicht alle 
Erwartungen an das System seitens der Benutzer. Ein 
Kontextdiagramm klärt, was innerhalb und außerhalb des 


Systems sein soll (Abb. 3). 
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mit nichtfachlichen Aspekten 
schmücken will. 

Phase I — Verteilung und 
Parallelität: Zu Beginn sind die 
meisten Softwaresysteme heut- 
zutage als nebenläufige und 
verteilte Systeme konzipiert. 
Ein Webshop läuft in der Re- 
gel auf einem vom Kunden 
separierten Server und be- 
nutzt Parallelitätskonzepte, 
um Skalierbarkeits- und Per- 
formanceanforderungen zu 
erfüllen. Dies impliziert, dass 
der vorliegende funktionale 
Kern in eine verteilte, neben- 
läufige Infrastruktur einzu- 
betten ist. Für die Trennung 
der Präsentationsschicht von 
den Geschäftskomponenten 
sowie deren Separation von 
EIS-Systemen (Enterprise In- 
formation Systems) wie Da- 
tenbanken oder ERP-Anwen- 
dungen bieten sich broker- und 
komponentenbasierte Soft- 
warearchitekturen an. Und 
auch hier finden sich wieder 
die Softwaremuster für verteil- 
te und nebenläufige Systeme. 
Genau genommen entwirft der 
Softwarearchitekt eine passen- 
de Infrastruktur für Verteilung 
und Parallelität, in die er an- 
schließend das bereits vorhan- 
dene fachliche Objektmodell 
integriert. Das resultierende 
Architekturmodell dient dann 
als Basis für die weiteren 
Phasen. 

Phase II -— strategisches 
Design: Nun erfolgt der stra- 
tegische Entwurf. Für alle 
operationalen Eigenschaften 
erstellen Bob und seine Freun- 
de ebenfalls passende Infra- 
strukturen. Dabei orientieren 
sie sich hinsichtlich der Rei- 
henfolge an den vorgegebenen 
Prioritäten. Würde also Sicher- 
heit die wichtigste operationale 
Eigenschaft darstellen, müs- 
sten sie zunächst gemäß der 
vorliegenden Anforderungsbe- 
schreibung eine Sicherheitsin- 
frastruktur konstruieren, die 
Subsysteme beziehungsweise 
Komponenten wie Firewalls, 
Sicherheitsprotokolle oder Au- 
thentisierungsserver beinhaltet. 
Diese Infrastruktur integrieren 
sie in die bisherige Architek- 
tur. Danach folgen die weite- 
ren operationalen Anforderun- 


gen mit absteigender Priorität. 
Je weiter innen im Zwiebel- 
modell eine solche Eigenschaft 
liegt, desto mehr Einfluss hat 
sie naturgemäß auf die gesam- 
te Softwarearchitektur. Ein 
Web-Shop, der in erster Linie 
sicher und nur in zweiter Linie 
verfügbar sein soll, besitzt fol- 
gerichtig eine andere Soft- 
warearchitektur als einer, der 
primär mit Verfügbarkeit und 
sekundär mit Sicherheit glän- 
zen will. Mindestens für die 
wichtigsten operationalen Ei- 
genschaften sollten Entwick- 
lungsprojekte eigene Experten 
oder sogar ganze Teams spen- 
dieren, die sich hauptsächlich 
um genau diese nichtfachli- 
chen Aspekte kümmern. 
Grundsätzlich ließen sich na- 
türlich auch Verteilung und 
Nebenläufigkeit als operatio- 
nale Eigenschaften charakteri- 
sieren. Da diese Aspekte aber 
normalerweise über andere 
operationale Eigenschaften do- 
minieren, ist es sinnvoll, zwi- 
schen den beschriebenen Pha- 
sen I und II zu unterscheiden. 
Phase III - taktisches De- 
sign: Es lässt sich trefflich dar- 
über streiten, wo architekto- 
nisches Design endet und 
Softwaredesign beginnt. Oft 
betrachten Experten Architek- 
tur- und Softwaredesign als 
Synonyme. Im taktischen Ent- 
wurf konzentrieren sich Archi- 
tekten auf die entwicklungs- 
technischen Eigenschaften. 
Dazu zählen unter anderem 
Wartbarkeit, Erweiterbarkeit, 
Änderbarkeit und Testbarkeit. 
Es handelt sich also um Anfor- 
derungen, die weniger das 
Laufzeitverhalten der Anwen- 
dung als viel mehr deren Ent- 
wicklung oder Evolution be- 
treffen. Nicht immer leuchtet 
den Projektbeteiligten aller- 
dings ein, warum so wichtige 
Eigenschaften wie Änderbar- 
keit erst am Schluss einfließen. 
Gerade derlei Qualitäten soll- 
ten sich aber in einem stabilen 
Fundament begründen statt im 
Chaos. Bei Flexibilitätsanfor- 
derungen bietet sich die Com- 
monality/Variability-Analyse 
als adäquates Instrument an. 
Diese stellt fest, welche Be- 
standteile der Anwendung 
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invariant und welche variabel 
sein sollen. Erstere beeinflus- 
sen die Softwarearchitektur be- 
reits in früheren Entwurfspha- 
sen, während Letztere im 
taktischen Design zum Tragen 
kommen. Zwei Beispiele mö- 
gen das illustrieren: 

Bob hat bereits im funktio- 
nalen Entwurf berücksichtigt, 
dass jeder Web-Shop über ein 
Bezahlsystem verfügen muss. 
Andererseits soll der Webshop 
für verschiedene Kunden zum 
Einsatz kommen, deren Wün- 
sche bezüglich der Zahlungs- 
optionen variieren können. 
Während einige Online-Shops 
Zahlung per Rechnung offerie- 
ren, beschränken sich andere 
auf Einzugsermächtigung oder 
Vorkasse. Die Art der Zahlung 
stellt somit eine Variabilität 
dar, während die Notwendig- 
keit des Bestellsystems selbst 
eine Invariante repräsentiert. 

Skalierbarkeit ihrer Web- 
Shops wünschen natürlich alle 
Kunden. Deren potenzielles 
Ausmaß ist allerdings direkt 
proportional zu ihren finanziel- 
len Möglichkeiten. So könnte 
Bob neben Web- auch Appli- 
kationsserver und Datenban- 
ken replizieren und über Kom- 
ponenten für Lastverteilung 
ansteuern. Oder er beschränkt 
sich auf die kostengünstigere 
Variante, die lediglich eine Re- 
plikation der Webserver vor- 
sieht und alle Softwareserver- 
anwendungen parallel vorhält. 
Letztere Variante sieht Bob 
deshalb für alle Kundenszena- 
rien vor, betrachtet das Repli- 
zieren von Applikationsser- 
vern und Datenbankservern 
aber als optional. 

Die Reihenfolge beim Ein- 
bringen taktischer Eigenschaf- 
ten bestimmt Bob erneut an- 
hand eindeutiger Prioritäten. 
Am Ende seiner Bemühungen 
steht er vor der vollendeten 
Zwiebel beziehungsweise vor 
einer stabilen Basisarchitek- 


tur, die als Fundament für die 
nachfolgenden Verfeinerungs- 
schritte dient. Auf die Imple- 
mentierungsphase selbst kann 
dieser Artikel nicht weiter 
eingehen. 


Der Teufel 
steckt im Detail 


Irgendwann während seiner ar- 
chitektonischen Schwerstarbeit 
stellt sich Bob die philosophi- 
sche Frage, wie detailliert die 
Basisarchitektur für den Web- 
Shop überhaupt sein muss. 
Wie weit sollte der Software- 
architekt also gehen und wann 
beginnt die eigentliche Imple- 
mentierungsphase? In einigen 
Projekten soll die Entwurfs- 
phase angeblich schon unüber- 
schaubare Ausmaße angenom- 
men haben und so mancher 
Kunde vor Beendigung des 
Projektes dahingeschieden 
sein. Eine wissenschaftlich 
fundierte Antwort gibt es hier- 
für leider nicht, wohl aber eine 
Daumenregel. Und weil Bilder 
oft mehr sagen als tausend 
Worte, möge das Pyramiden- 
modell (Abbildung 4) der Ver- 
anschaulichung dienen. Die 
Architektur eines Softwaresys- 
tems umfasst demnach maxi- 
mal drei Ebenen: das System 
als Ganzes, die grundlegenden 
Subsysteme und ihre Bezie- 
hungen sowie die Komponen- 
ten, aus denen sich wiederum 
die Subsysteme konstituieren. 
Die Abbildung der mehr- 
deutigen Begriffe Subsysteme 
oder Komponenten auf reale 
Entitäten hängt vom Problem- 
kontext ab. In einem service- 
orientierten Umfeld könnten 
die Subsysteme zum Beispiel 
Dienste darstellen, die sich ih- 
rerseits aus Komponenten zu- 
sammensetzen. Für Kleinstsys- 
teme könnten Subsysteme zu 
Komponenten und Kompo- 
nenten zu Klassen mutieren. 
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Bekanntlich beginnen die 
wenigsten Softwareprojekte 
auf der grünen Wiese. Da 
wünschen Auftraggeber die 
Nutzung eines speziellen Da- 
tenbanksystems für ihren 
Web-Shop oder fordern die 
optimale Nutzung eines be- 
stimmten Betriebssystems. Ein 
Extrem stellen in diesem Zu- 
sammenhang eingebettete und 
Echtzeitsysteme dar, weil sie 
stringente Vorgaben hinsicht- 
lich Laufzeitverhalten und 
Ressourcennutzung implizie- 
ren. Hier stellt sich die Frage, 
ob solche Aspekte überhaupt 
ins bisherige Bild passen oder 
derartige Systeme einen gänz- 
lich anderen Prozess benöti- 
gen. Zum Glück lassen sich 
die beschriebenen Prinzipien 
auch auf diese Problemkontex- 
te anwenden, sofern die Soft- 
warearchitekten die genannten 
stringenten Vorgaben als An- 
forderungen höchster Priorität 
betrachten. Im Zwiebelmodell 
müsste Bob also von Anfang 
an Vorgaben wie die Begren- 
zung auf 512 KByte Haupt- 
speicher berücksichtigen. 


Fazit 


Bob ist überglücklich, nach- 
dem er sein erstes Projekt er- 
folgreich zu Ende geführt hat. 
Er hat gelernt, dass erfolgrei- 
che Softwarearchitekturen sich 
nur in einem systematischen 
und inkrementellen Prozess re- 
alisieren lassen, wie dies auch 
bei allen anderen Ingenieurs- 
disziplinen der Fall ist. Ad-hoc 
getriebene Ansätze hingegen 
erwecken zwar mitunter an- 
fangs die Illusion eines rasan- 
ten Fortschritts, scheitern dann 
aber an der Komplexität der 
Problemstellung, die den Be- 
teiligten schon bald hoffnungs- 
los über den Kopf wächst. 
Natürlich muss das Verhält- 
nis von Planung und Umset- 
zung in einem vernünftigen 
Verhältnis stehen. Man kann 
sich auch zu Tode planen, wie 
einige Großprojekte aus jüngs- 
ter Zeit beweisen. Der Archi- 
tekt sollte über ein ausreichen- 
des Fundament an Erfahrung 
und Wissen verfügen, das sich 


Subsysteme 


‚U Komponenten 


Biene 


Um sich nicht in Details 
zu verlieren, schlägt das 
Pyramidenmodell einen 
dreistufigen Ansatz vor 
(Abb. 4). 


von der Domänenexpertise 
über Technik- und Methoden- 
kenntnisse bis zu sozialen Fä- 
higkeiten erstreckt. 

Und zu guter Letzt sollten 
Softwarearchitekten nicht nach 
Innovation, sondern nach Lö- 
sungen streben. Der erste 
Trägheitssatz der Softwarear- 
chitektur postuliert nicht um- 
sonst die ausgiebige Nutzung 
von Softwaremustern und an- 
deren bewährten Praktiken, 
um die Produktivität und 
Effektivität zu steigern. Und 
ganz nebenbei verbessert sich 
dadurch Bobs Work-Life-Ba- 
lance, aber das ist eine andere 
Geschichte. (ka) 
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Single Sign-On 


Zentrales Sicherheitsinformationssystem FreelPA 


Identitäts-Voodoo 


Thorsten Scherf 


Zentrale Lösungen zur Benutzerverwaltung mit Single-Sign-On- 
Eigenschaften existieren auch im Open-Source-Umfeld in großer Zahl. 
Jedoch sind die meisten recht umständlich zu implementieren und zu 
administrieren oder sie bieten nicht den gewünschten Funktionsumfang. 
Abhilfe verspricht das freie Sicherheitsinformationssystem FreelPA. 


lassischerweise setzen 
14 sich die Anforderungen 

an aktuelle IT-Land- 
schaften aus drei Punkten zu- 
sammen: Compliance/Kom- 
patibilität, Risikoreduzierung 
sowie Effektivität. Ziel einer 
IT-Compliance ist nicht nur 
die Einhaltung nationaler 
(Telekommunikationsgesetz, 
Bundesdatenschutzgesetz) son- 
dern gegebenenfalls auch inter- 
nationaler Regelungen (Basel- 
II, Sarbanes-Oxley). Problem- 
und Gefahrenpotenziale sind 
zu erkennen und durch geeig- 
nete Maßnahmen dauerhaft zu 
vermeiden beziehungsweise 
zu beseitigen. In Deutschland 
gibt das Bundesamt für Si- 
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cherheit in der Informations- 
technik (BSI, siehe „Online- 
quellen“ [a]) seine umfangrei- 
chen Grundschutz-Kataloge 
heraus, die potenzielle Risiken 
mit konkreten Handlungsan- 
weisungen kombinieren. Eini- 


ge grundlegende Details liefert 
der Kasten „Grundschutz-For- 
derungen“. 

Natürlich existieren für die 
dort genannten Anforderungen 
schon viele Ansätze, beispiels- 
weise in Form eines LDAP- 


Servers für die Benutzerver- 
waltung. Zur sicheren Verwal- 
tung von Passwörter existiert 
seit langer Zeit das Kerberos- 
Protokoll, der Audit-Daemon 
[1] kann sämtliche Benutzer- 
und Prozessaktivitäten nach- 
verfolgen und schließlich lässt 
sich mit SELinux eine extrem 
fein granulierte Sicherheits- 
Policy auf Basis der Mandato- 
ry Access Control einrichten. 
Der Nachteil hier besteht darin, 
dass alle genannten Lösungen 
Stand-alone-Produkte sind und 
sich nur mit großem adminis- 
trativen Aufwand an zentraler 
Stelle miteinander kombinieren 
lassen. So lassen sich beispiels- 
weise die Audit-Logs mehre- 
rer Maschinen nicht zentral 
verwalten. Auch das Verteilen 
einmal erzeugter SELinux- 
Policy-Module auf mehrere 
Maschinen funktioniert ohne 
selbstgebaute Skripte bisher 
nicht. Zwar existiert eine Viel- 
zahl von proprietären Lösun- 
gen, jedoch sind diese meist 
recht teuer und unflexibel, 
wenn man sie mit bestehen- 
den Produkten aus der Open- 
Source-Welt vergleicht. Er- 
schwerend kommt oftmals 
hinzu, dass die Interoperabi- 
lität mit Linux-Systemen nicht 
gerade die Beste ist. 

Eine weitere Alternative 
besteht im Einsatz von Micro- 
softs Active Directory (AD). 
Hierbei handelt es sich um ei- 
nen erprobten Directory-Ser- 
ver auf LDAP/Kerberos-Ba- 
sis, den viele IT-Abteilungen 
schon einsetzen. Sieht man 
von der fehlenden nativen 
Schnittstelle für die Authenti- 
fizierung von Linux-Benut- 
zern einmal ab, spricht im 
Prinzip nichts dagegen, diesen 
Server zur Authentifizierung 


zusammenführen. 


A-TRACT 


© Für Single Sign-On existieren unter Linux viele Ansätze, die sich meist durch komplizierte 
Verwaltung oder unvollständigen Funktionsumfang für einen praktischen Einsatz disqualifizieren. 


© FreelPA will die Verwaltung von Identitäten, Policies und Audit-Protokollen koordinieren und 


© Dazu vereint das freie Projekt in klassischer Unix-Manier bereits vorhandene Ansätze unter 
einem leicht zu bedienenden Web-Frontend nebst einigen Kommandozeilenwerkzeugen. 
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von sowohl Linux- als auch 
Windows-Benutzern einzuset- 
zen. Das in Ausgabe 10/08 
begonnene iX-Tutorial [2, 3] 
befasst sich ausführlich mit 
dieser Fragestellung. 


Varianten für Linux- 
Umgebungen 


Für das Andocken von Linux- 
Umgebungen an AD existiert 
das ebenfalls erprobte Samba 
oder beispielsweise Likewise 
[b]. Ein großer Nachteil hier 
besteht darin, dass im AD kein 
Policy- oder Audit-Manage- 
ment für Linux-Systeme exis- 
tiert. Hierfür müsste man wie- 
der auf andere Programme 
zurückgreifen, was den Pro- 
dukt-Dschungel wieder vergrö- 
Bern würde — und genau dies 
möchte man ja vermeiden. 
Zusätzlich ließe sich noch 
darüber diskutieren, ob man 
sicherheitsrelevante Daten be- 
ziehungsweise Informationen 
wirklich in die Hand eines An- 
bieters geben möchte, wenn 
man die Funktionen des einge- 
setzten Programms überhaupt 
nicht nachvollziehen kann. 

Genau in diese Kerbe 
schlägt das Projekt FreeIPA 
[ce], eine kommerzielle Varian- 
te gibt es als Red Hats IPA [d]. 
Hiermit lässt sich sowohl eine 
zentrale Verwaltung von Iden- 
titäten (I), Policies (P) wie 
auch der Audit-Logs (A) reali- 
sieren. In guter alter Unix-Ma- 
nier erfindet das Projekt das 
Rad nicht immer wieder neu, 
sondern greift stattdessen auf 
existierende Ansätze zurück 
und vereint diese unter einem 
leicht zu bedienenden Web- 
Frontend oder wahlweise einer 
Handvoll Kommandozeilen- 
Tools (siehe Abb. 1). 

FreeIPA ist ein noch recht 
junges Open-Source-Projekt. 
In der aktuellen Version 1.1 
liegt der Fokus auf dem Iden- 
tity-Management, in der für 
Anfang 2009 erwarteten Ver- 
sion 2.0 sollen die Policy- und 
Audit-Komponenten folgen. 
Durch ein modulares Konzept 
lassen sich dem Core-System 
die verschiedensten Kompo- 
nenten hinzufügen. So soll in 
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Zukunft beispielsweise Dog- 
tag [e], die Open-Source-Vari- 
ante von Red Hats Zertifikats- 
system, die Verwaltung der 
X.509-Zertifikate überneh- 
men, FreeRADIUS für RAS- 
Benutzer und der bekannte au- 
dit-Daemon für die zentrale 
Speicherung von Audit-Infor- 
mationen zuständig sein. Den 
Zugriff auf die einzelnen 
Komponenten der IPA-Ver- 
sion 1 zeigt Bild 2. 

Wie die Grafik schön zeigt, 
lassen sich mit FreeIPA auch 
die Konten eines vorhandenen 
AD mit einem IPA-Server syn- 
chronisieren. Somit kann man 
Linux- und Unix-Benutzern 
einfach eine native Schnitt- 
stelle für die Authentifizie- 
rung mit AD-Konten bieten. 
Ein weiterer Vorteil im Ver- 
gleich zur direkten Anmel- 
dung an einem AD-Server. 


Fedora Server 
Installation 


Eine einfache Installation des 
IPA-Servers war eine grundle- 
gende Voraussetzung bei der 
Entwicklung und so ist es nun 
tatsächlich möglich, das kom- 
plette Setup innerhalb weniger 
Minuten zu bewerkstelligen. 
Da FreelPA in den Reposito- 
ries von Fedora 8 und 9 ent- 
halten ist, reicht der Aufruf 
yum install -y ipa-server, um 
alle notwendigen Pakete ein- 
zuspielen. Vor dem Aufruf des 
Installationsskripts sollte man 
sicherstellen, dass die Namens- 
auflösung für den IPA-Server 
reibungslos funktioniert. Steht 
für die Domäne noch kein 
DNS-Server zur Verfügung, 
so beschreibt Shannon Hughes 
in einem Online-Artikel [f] ei- 
ne einfache Bind-Installation. 
Ein DNS-Server zur Namens- 
auflösung ist auch für die 
IPA-Clients hilfreich, da die- 
se dann über einen Service- 
Discovery ihre zuständigen 
Server finden und somit nicht 
manuell zu konfigurieren sind. 
Der Aufruf ipa-server-install 
startet die Setup-Routine und 
erzeugt unter anderem eine 
DNS-Zonendatei mit den 
passenden Service-Einträgen 


CLI Admin Tools Web UI (Turbogears] 


Direcory Server 


Zum Verwalten des IPA-Servers stehen sowohl 
Kommandozeilen-Tools als auch ein Web-Frontend zur 


Verfügung (Abb. 1). 


AD 


Windows 


Be 


VPN, 802.1x 
WLAN, Routers 


Linux 


Auf den IPA-Server können die Clients auf unterschiedliche 


Wege zugreifen (Abb. 2). 


STTL 86400 


; Dont forget to inerement the serial nunber 
003040100 ‚serial nunber 
4H ‚refresh slave 
5M ;retry refresh 
il ;expire zone 


Nane server resource records ( NS ) 
ouner TIL (L type 
IN NS 


an... 


; Internet address resource records A ) 
; ouner TIL (L type 
serverl IN A 


; |dap servers 
_Idap._tep 

;kerberos realn 
_kerberos 

; kerberos servers 
_kerberos._tep 
_kerberos._udp 
_kerberos-master._tcp 
_kerberos-master._udp 
_kpassud._tep 
_kpassud._udp 

jntp server 
_htp._udp 


IN SRV 


389 
IN TAT 


IN SRV 
IN SRV 
IN SRV 
IN SRV 
IN SRV 
IN SRV 


IN SRV 0 100 123 


Listing 1: DNS-Zonendatei mit Service-Records 


d IN SOA serverl.example.com. root.serveri.exanple.com. ( 


5M zeache time-to- 


Live for negative answers 


RDATA 
serveri.exanple.con. 


RDATA 
192.168.122.1 


serverl.example.com. 


EXANPLE. COM 


server 
server 
server 
server 
server 
server 


‚„example.com. 
‚„example.com. 
„eXample.com. 
‚„example.com. 
‚„example.com. 
‚„eXample.com. 


serverl.example.com. 


(SRV records). Darüber kön- 
nen Clients alle notwendigen 
Informationen wie LDAP- und 
Kerberos-Server-IP, Kerberos- 
Realm et cetera direkt aus dem 
DNS beziehen, eine umständ- 
liche manuelle Client-Konfi- 
guration entfällt. Die DNS-Zo- 
nendatei (Listing 1) befindet 
sich anschließend in /tmp und 
lässt sich von dort auf dem 
zuständigen DNS-Server ein- 
binden. 

Zu den weiteren Kompo- 
nenten, die das FreeIPA-Setup 
der Version 1.x installiert und 
konfiguriert, gehören NTP, 
Red Hat Directory Server, 
MIT Kerberos, Apache/Tur- 
bogears sowie die SELinux 
Targeted Policy. Dabei fragt 
die Setup-Routine die not- 
wendigen Informationen wie 


LDAP Base DN, Kerberos 
Realm, Servername et cetera 
ab und schon nach wenigen 
Minuten ist der Server inklusi- 
ve aller Komponenten einsatz- 
bereit. Aufrufe von kinit zum 
Anfragen und klist zum An- 
zeigen eines Kerberos-Tickets 
beweisen dies, Listing 2 zeigt 
die Ausgaben. 

Möchte man im IPA-Ser- 
ver Directory nach einem be- 
stimmten Benutzer suchen, so 
geschieht dies mit dem fol- 
genden Aufruf: 


# ipa-finduser admin 

cn: Administrator 
homedirectory: /home/admin 
loginshell: /bin/bash 

vid: admin 


Nach einer schon mit Kerbe- 
ros authentifizierten Abfrage 
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Single Sign-On 


des Directory-Servers listet 
dieser, wie in Listing 3 zu 
sehen, alle bekannten Attri- 
bute des Benutzers admin 
auf. Neue Benutzer lassen 
sich dem Directory/Kerbe- 
ros-Server ebenfalls leicht 
hinzufügen. Der Aufruf ipa- 
adduser -f Thorsten -I Scherf 
tscherf fragt zweimal nach 
dem Passwort und bestätigt 
den Erfolg der Aktion mit 
der Meldung: tscherf added 
successfully. 

Dabei kann ipa-adduser 
alle notwendigen LDAP- 
Attribute als Optionen über- 
geben. Lässt man sie weg, 
benutzt das Tool gewisse De- 
faults, wie die Ausgabe von 
ldapsearch in Listing 3 zeigt. 

Wer zur Interaktion mit 
dem Directory lieber das 
Webfrontend verwendet, muss 
zunächst seinen Browser an- 
passen. Firefox zeigt die ak- 
tuellen Konfigurationseinstel- 
lungen via „about:config“ an. 
Folgende Direktiven muss 
man anpassen: 


network.negotiate-auth.trusted-uris 7 
.example.com 
network.negotiate-auth.delegation- 7 
uris .example.com 
network.negotiate-auth.using-native- 7 
gsslib true 


Baut der Admin im Anschluss 
eine Verbindung zum Apache- 
Webserver auf, begrüßt ihn 
ein nettes Web-Interface. Dort 
kann er, wie im nbentehenden 
Screenshot zu sehen, komfor- 
tabel Benutzer einrichten be- 
ziehungsweise das Directory 
abfragen sowie andere Einstel- 
lungen vornehmen. 


Client-Konfiguration 
in Fedora 


Als IPA-Client-Systeme las- 
sen sich nicht nur Fedora und 
Red Hat Enterprise Linux 
(RHEL) konfigurieren, son- 
dern auch viele Unix-Varian- 
ten wie Solaris, AIX, HP-UX 
oder Mac OS X. Sogar für 
Windows existiert ein eigener 
Client-Installer. Der folgende 


& Add User 


Tale: 
First Hime: Thorsten 
Last ame: Scherf 


Full Nume: Thorsten Scherf 


Display Name: Thorsten Scherf 


Immialse [TS 


Account Sumas | some » 
kogie: scher 
Passwont jHeuers 


Candirm Password |"-.-») T 


Über das Web-Interface lassen sich bequem Benutzer zum 


Directory hinzufügen (Abb, 3). 


Abschnitt beschreibt die Kon- 
figuration eines Fedora-Client 
Eine Konfigurationsanleitung 
für alle anderen Systeme fin- 
det sich unter [6]. 

Benutzt der Client die re- 
gulären Fedora-Repositories, 
so reicht zur Installation der 
Aufruf yum install ipa-client 
ipa-admintools. Der Aufruf 
ipa-client-install startet das 
Installationsprogramm, Lis- 
ting 4 zeigt dessen Bildschirm- 
ausgabe. 


Grundschutz-Forderungen 


Vom BSI stammt eine umfang- 
reiche Sammlung von Katalo- 
gen zum Thema Grundschutz 
[g], die sich sehr detailliert 
mit einzelnen Aspekten aus- 
einandersetzen. Beispielsweise 
benennt der Gefahrenkatalog 
unter „G4 — Technisches Ver- 
sagen“ als mögliches Risiko 
explizit den Punkt „Schlechte 
oder fehlende Authentikation“. 
Hier ein Auszug: 


„Authentikationsmechanismen 
können zur Authentikation von 
Benutzern oder Komponenten 
oder zur Bestimmung des Da- 
tenursprungs eingesetzt wer- 
den. Wenn Authentikations- 
mechanismen fehlen oder zu 
schlecht sind, besteht die Ge- 
fahr, dass Unbefugte auf IT- 
Systeme oder Daten Zugriff 
nehmen können, die Verursa- 
cher von Problemen nicht iden- 
tifiziert werden können oder 
die Herkunft von Daten nicht 
bestimmt werden kann.“ 


Schaut man sich den Maßnah- 
menkatalog etwas genauer an, 
so findet man beispielsweise 
unter dem Punkt „M5 — Kom- 
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munikation“ einen expliziten 
Warnhinweis vor dem Einsatz 
von „NIS — Network Informa- 
tion System“ zur Benutzer- 
authentifizierung in Unix-Um- 
gebungen, da das Protokoll 
erhebliche Sicherheitsmängel 
aufweist. Aber gerade NIS fin- 
det sich noch in vielen Umge- 
bungen, da sich viele Admins 
vor einem Umstieg auf LDAP 
wegen dessen Komplexität 
fürchten. Als weitere Hürde bei 
einem potenziellen Umstieg 
von NIS auf LDAP kommt er- 
schwerend hinzu, dass zur si- 
cheren Konfiguration eines 
LDAP-Servers auch die Erstel- 
lung von X.509-Zertifikaten ge- 
hört, damit die Kommunikation 
zwischen Client und Server ver- 
schlüsselt stattfindet und sich 
der LDAP-Server korrekt au- 
thentifiziert. Natürlich möchte 
man nun auch noch die Pass- 
wörter der Benutzer sicher ver- 
walten und diese nicht auf ei- 
nem Directory-Server ablegen. 
So kommt schließlich noch 
Kerberos ins Spiel. RAS-Benut- 
zer (Remote Access Service) 
die sich via VPN in das lokale 
Netzwerk einwählen wollen, 


wurden hier noch gar nicht be- 
achtet. Die Installation eines 
RADIUS-Servers (Remote Au- 
thentication Dial-In User Ser- 
vice) stellt also eine weitere zu 
lösende Aufgabe dar, wenn es 
um die sichere Authentifizie- 
rung von Benutzern geht. Um 
alle Komponenten sicher zu im- 
plementieren und zu verwalten 
sind schon ein immenser admi- 
nistrativer Aufwand sowie eine 
Menge Know-how notwendig. 


Schaut man sich den BSI-Ge- 
fahrenkatalog weiter an, so 
stellt man fest, dass es mit der 
sicheren Authentifizierung von 
Benutzern ja noch lange nicht 
getan ist. So möchte man auch 
nachvollziehen können, welcher 
Benutzer welche Daten einge- 
geben hat beziehungsweise wel- 
che Aktivitäten von einem User 
ausgegangen sind. Das erfordert 
ein umfangreiches Auditing. 
Möchte man nun noch Sicher- 
heitsrichtlinien auf den einzel- 
nen Arbeitsplatzsystemen im- 
plementieren, so ist die Anzahl 
der hierfür notwendigen Pro- 
dukte schon gewaltig und nur 
noch schwer zu durchschauen. 


Damit der Kerberos-Client 
in Zukunft beim DNS-Server 
nach dem richtigen Kerberos- 
Realm und Server fragt, sind 
die Anweisungen dns_look- 
up_realm und dns_lookup_ 
kdc in /etc/krb5.conf auf „true“ 
zu setzen. Damit ist die Kon- 
figuration des Clients schon 
komplett. Benutzer können 
sich an diesem System nun mit 
den zentral verwalteten Kon- 
ten anmelden. Für einen ersten 
Test lässt sich wieder auf kinit 
zurückgreifen, sonst klappt 
auch ein reguläres Login auf 
der Konsole per pam_ldap und 
pam_krb5. 


Kerberos-Principals 
für die Dienste 


Möchte man nun zusätzlich 
zu den Benutzerpasswörtern 
auch Passwörter für Services 
in der Kerberos-Datenbank 
speichern, so lässt sich dies 
ebenfalls einfach erledigen. 
Zum Erzeugen eines Kerbe- 
ros-Principal für einen NFS- 
Server reicht der dort aufgeru- 
fene Befehl ipa-addservice 
nfs/nfs.example.com. 

Damit der NFS-Server sein 
eigenes Passwort kennt und 
somit alle an ihn gerichteten 
Kerberos-Anfragen dekodie- 
ren kann, ist das Passwort aus 
der Kerberos-Datenbank des 
IPA-Servers auf den NFS-Ser- 
ver zu übertragen. Auch hier- 
für reicht ein einzelner Befehl: 


# ipa-getkeytab -s server] -p 7 
nfs/nfs.example.com -k 7 
/etc/krb5.keytab 
Keytab successfully retrieved and 7 
stored in: /etc/krb5.keytab 
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# kinit adnin 

Password for admindEXANPLE.CON: 

# klist -5 

Ticket cache: FILE: /tnp/krb5cc_D 
Default principal: admindEXAMPLE.CON 
Valid starting Expires 


com 


Listing 2: Ausgabe von kinit und klist 


Service principal 
06/13/08 18:53:35 06/14/08 18:53:32 krbtgt/EXANPLE.COMDEXANPLE, 


# Idapsearch -Y 6SSAPI uid=admin -LLL 
SASL/GSSAPI authentication started 
SASL username: adnindEXANPLE.CON 
SASL SSF: 56 

SASL installing Layers 


objectllass: top 
objectllass: person 
objectllass: posixAccount 
objecttlass: KrbPrincipalAux 
objecttlass: inetlser 

uid: admin 

krbPrincipallame: adnindEXANPLE.CON 
en: Administrator 

sn: Administrator 
widNumber: 999 

gidNunber: 1001 
homedirectory: /home/admin 
login$hell: /bin/bash 
gecos: Administrator 


krbLastPudChange: 200805070849247 
krbPasswordExpiration: 200808050849242 


Listing 3: Ausgabe von Idapsearch 


dn: uid=zadmin,en=sysaccounts,cn=etc,de=example,de=con 


menberOf: cn=adnins,cn=groups,en=accounts,de=example,de=con 


LDAP enabled 


NTP enabled 


Listing 4: Ausgabe von ipa-client-install 


# ipa-client-install 

Discovery was successful! 

Realm: EXANPLE.COM 

DNS Domain: example.com 

IPA Server: serverl,exanple.con 

BasedN: dezexample,de=con 

Continue to configure the system with these values? Ly/Nl: y 
Created /ete/ipa/ipa.conf 

Configured /ete/ldap.conf 


nss_ldap is not able to use DNS discovery! 

Changing configuration to use hardcoded server name: 
serveri.example.com 

Kerberos 5 enabled 


Client configuration complete, 


Listing 5: Daten für Replica erzeugen 


# ipa-replica-prepare server2.example.con 

Determining current realm name 

Getting domain nane from LDAP 

Preparing replica for server2,example.com from 
serveri.example.com 

(reating SSL certificate for the Directory Server 

(reating SSL certificate for the Web Server 

Copying additional files 

Finalizing configuration 

Packaging the replica into replica-info-server2.example.com 


Abschließend sei erwähnt, 
dass man den Kerberos-Server 
nun nicht mehr mit den eige- 
nen Administrationswerkzeu- 
gen wie kadmin oder kadmin 
‚local verwalten darf, da diese 
die Konfiguration des IPA- 
Servers zerstören würden. Der 
Grund hierfür sind Änderun- 
gen an der für FreelPA ver- 
wendeten MIT-Kerberos-Im- 
plementierung. Diese legt 
sämtliche Kerberos-Einträge 
nicht mehr in einer lokalen 
Datei unterhalb von /var/lib/ 
krb5kdc ab, sondern speichert 
sie, wie Abb. 4 zeigt, nun 
ebenfalls im LDAP-Directory 
in einen Container mit dem 
Namen „Kerberos“. 


Daten sind zum 
Replizieren da 


Damit der IPA-Server nicht 
der Single-Point-of-Failure bei 
der Benutzerauthentifizierung 
ist, bietet es sich an, mindes- 
tens einen zweiten Master- 
Server (Replica) einzurichten. 
Bei diesem handelt es sich 
praktisch um einen Spiegel 
des IPA-Servers; jede Ände- 
rung im Directory wird hier- 
auf repliziert. Für die Installa- 
tion ist auf diesem ebenfalls 
das Paket ipa-server zu instal- 
lieren. Auf der eigentlichen 
IPA-Maschine erzeugt der 
Administrator mit dem Befehl 


iX 11/2008 


ipa-replica-prepare eine Da- 
tei, die alle notwendigen In- 
formationen enthält. Listing 5 
zeigt ein Beispiel. Anschlie- 
ßen kopiert er die so erzeugte 
Datei auf den zukünftigen 
zweiten Master-Host und star- 
tet dort die Installationsrouti- 
ne. Die liest alle notwendigen 
Informationen nun aus der 
eben kopierten Datei ein: 


server] # scp /var/lib/ipa/replica- 7 
info-server2.example.com root@ 7 
server2:/var/lib/ipa/ 

server2 # ipa-replica-install /var/ 7 
lib/ipa/replica-info-server2. 7 
example.com 


Ist das Installationsprogramm 
ohne Fehler durchgelaufen, 
startet im Anschluss eine Re- 
plikation der LDAP-Server- 
Datenbank. Verweist man in 
der DNS-Zonendatei auch auf 
den zweiten Master, stehen 


zwei unterschiedliche Server 
für Abfragen bereit. Anzumer- 
ken sei hier noch, dass in der 
initialen Version von IPA noch 
keine Synchronisation mit AD- 
Servern möglich ist. Jedoch 
sollte bei Erscheinen dieses Ar- 
tikels die Version FreeIPA 1.2 
verfügbar sein, die diese Funk- 
tion enthalten soll. 


Fazit 


Mit FreeIPA steht dem Ad- 
ministrator ein leistungsfähi- 
ges Werkzeug zur zentralen 
Speicherung von sicherheits- 
relevanten Informationen zur 
Verfügung. Auch wenn die 
Version 1.x noch ganz klar 
auf die Speicherung von Be- 
nutzer- und Service-Identi- 
täten ausgerichtet ist und in- 
teressante Komponenten wie 


[h] Listingservice 


[al BSI www.bsi.bund.de 

b] Likewise www.likewisesoftware.com 

[e] FreelPA www.freeipa.org 

[d] Red Hat IPA https: //www.redhat.com/promo/ipa/ 

e] Dogtag pki.fedoraproject.org/wiki/ 
PKI_Main_Page 

fl] How to setup DNS www.redhat.com/magazine/025nov06/ 
features/dns/ 

gl] BSI Grundschutz-Kataloge www.bsi.bund.de/gshb/deutsch/ 
index.htm 


ftp.heise.de/pub/ix/ix_listings/ 


N er=syratonute 


er=ipaconig 


Sämtliche Informationen 
zur Konfiguration des IPA- 
Servers liegen nun im 
LDAP-Directory, so auch 
die Kerberos-Datenbank 
(Abb. 4). 


Zertifikats- und Audit-Log- 
Verwaltung noch fehlen, lässt 
sich jetzt schon das große Po- 
tenzial erkennen. FreeIPA 
vereint viele bekannte Open- 
Source-Anwendungen unter 
einem Hut und macht deren 
Konfiguration und Verwal- 
tung kinderleicht. (avr) 
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Metadaten 


Kirchturm 


Bäume 


Sand 


Bildannotationen im semantischen Web 


Weltbeschreibung 


Daniel Koch 


Bildersuchmaschinen arbeiten alle nach demselben Prinzip: 

Man gibt einen Suchbegriff ein und bekommt mehr oder minder 
brauchbare Ergebnisse. Es interessiert Suchmaschinen nicht, ob „Ball” 
ein Sportgerät oder eine Abendveranstaltung bezeichnet. Ein paar 
Produkte helfen schon jetzt, semantische Annotationen vorzunehmen. 


igitalfotos kann man 
D gleich nach der Auf- 

nahme im Internet prä- 
sentieren. Bildagenturen und 
andere bieten Fotos, Gemälde 
oder Digitalversionen wert- 
voller Schriften über profes- 
sionelle Bilddatenbanken an. 
Wer schon Bildersuchmaschi- 
nen genutzt hat, kennt deren 
Grenzen: Gibt man dort 
„Kohl“ ein, bekommt man 
Fotos aus den verschiedensten 
Bereichen angezeigt. So prä- 
sentiert Yahoo Fotos eines 
Kohl-Centers, eines Baseball- 
Spielers gleichen Namens und 
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des Altkanzlers Helmut Kohl 
in einem Fahrstuhl. 

Derzeit können zwar Men- 
schen die bereitgestellten In- 
formationen verstehen, Ma- 
schinen sie aber nicht korrekt 
interpretieren. Letztere kön- 
nen Informationen nur lesen, 
wenn sie explizit vorhanden 
sind. Genau hier kommen An- 
notationen ins Spiel, denn sie 
können Fotos Metadaten zu- 
weisen. Für das semantische 
Web sind solche Annotatio- 
nen eine Voraussetzung. Mit 
Beschreibungssprachen wie 
Mikroformaten oder dem Re- 


source Description Frame- 
work (RDF) kann man Ma- 
schinen die Bedeutung von 
Inhalten bis zu einem gewis- 
sen Grad „beibringen“. 


Hierarchische 


Struktur abbilden 


Das Kernkonzept von Anno- 
tationen sind Ontologien. Ver- 
gleichen lassen sie sich am 
ehesten mit einer Datenbank. 
Wie dort bilden hier Struktur 
und Inhalt das große Ganze. 
Informationen werden aber 


nicht einfach nur als Text in 
einer Datenbank gespeichert, 
sondern vorhandenes Wissen 
wird weiter interpretiert. Hat 
man beispielsweise die Kon- 
zepte „Karlsruhe“, „Baden- 
Württemberg“ und „Deutsch- 
land“ sowie die Beziehungen 
„Karlsruhe ist Teil von Ba- 
den-Württemberg“, „Baden- 
Württemberg ist Teil von 
Deutschland“, so kann ein se- 
mantisches System folgern, 
dass „Karlsruhe Teil von 
Deutschland“ ist. Anfragen zu 
„Alle Bilder aus Deutschland“ 
finden so auch die mit „Karls- 
ruhe“ annotierten. 

Hinsichtlich des semanti- 
schen Web stellen Ontologien 
semantische Modelle dar, die 
Daten interpretieren und zuein- 
ander in Beziehung setzen kön- 
nen. Und es gibt mittlerweile 
eine Vielzahl an Empfehlun- 
gen des World Wide Web 
Consortium (W3C), die sich 
mit dem semantischen Web 
befassen. Hier die wichtigsten: 
-RDF [a], eine Beschrei- 
bungssprache für Informatio- 
nen einer Webressource. 

- OWL [b], eine Beschrei- 
bungssprache für Klassen und 
Relationen. 

-SKOS [c], eine formale 
Sprache für die Kodierung 
von Dokumentationssprachen. 
-SPARQL [d], ein Protokoll 
samt Abfragesprache. 

Diese Ansätze bilden heu- 
te die Basis für die Arbeit am 
semantischen Web im Allge- 
meinen und Annotationen im 
Besonderen. 


RDF als Basis des 
semantischen Web 


Grundlage des semantischen 
Web ist das vom W3C entwi- 
ckelte Resource Description 
Framework. RDF setzt sich 
aus vier grundlegenden Kom- 
ponenten zusammen: 

— Ressourcen: die mittels 
RDF beschriebenen Dinge — 
durch einen URI und eine op- 
tionale Anker-ID spezifiziert. 
— Eigenschaften (Properties): 
Attribute oder Beziehungen, 
die eine Ressource genauer 
beschreiben. 
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— Literale (Literals): können 
atomare Werte wie Unicode- 
Strings enthalten. Eigenschaf- 
ten lassen sich durch Literale 
ausdrücken. 

Aussagen (Statements): Mit 
Ressourcen und Eigenschaf- 
ten können in RDF Aussagen 
formuliert werden, indem 
man der Eigenschaft einer 
Ressource einen Wert zu- 
weist. 


Definition 
von Schemata 


RDF ist ein Datenmodell für 
die Repräsentation von Meta- 
daten, die Ressourcen be- 
schreiben können. Allerdings 
kann RDF selbst nicht Struk- 
turinformationen des generi- 
schen Konzepts definieren. 
Man kann daher beispiels- 
weise nicht angeben, welche 
Klassen von Ressourcen es 
gibt. Hier kommt RDF Sche- 
ma [e] ins Spiel. RDFS er- 
möglicht die Definition von 
Schemata, die Begriffe für 
bestimmte Einsatzgebiete in 
maschinenlesbarer Form fest- 
legen. So lässt sich die Se- 
mantik von Klassen, Eigen- 
schaften und Werten formal 
definieren. 

RDF Schema hat, was die 
Ontologie anbelangt, allerdings 
seine Schwächen. Zwar kann 
es Klassen, Über- und Unter- 
klassen sowie einfache Bezie- 
hungen abbilden, bei komple- 
xen Beziehungen scheitert 
RDFS allerdings. Man kann 
hier zwar durchaus in die 
Syntaxstrukturen eingreifen, 
das würde allerdings zu einem 
nichtstandardisierten Verfah- 


ren führen, was es logischer- 
weise zu vermeiden gilt. 
Ebenfalls eine Entwick- 
lung des W3C ist die Web 
Ontology Language (OWL). 
Mit ihr können anhand einer 
formalen Beschreibungsspra- 
che Ontologien erstellt, veröf- 
fentlicht und verteilt werden. 
OWL stellt eine Plattform für 
die Entwicklung themenspezi- 
fischer Vokabulare dar, mit 
der sich Inhalte beschreiben 
lassen. Dabei setzt OWL RDF 
und RDFS ein und nutzt zu- 
sätzliche Vokabeln, die Ei- 
genschaften und Klassen be- 
schreiben können. Das W3C 
hat es sich zum Ziel gesetzt, 
mit OWL die Schwierigkeiten, 
die bei RDF und RDFS auf- 
tauchen, zu beheben. Denn bei 
diesen beiden Ansätzen stand 
zunächst die Metadatenverwal- 
tung im Vordergrund. Erst 
nachträglich erkannte man, 
dass sich darüber ontologische 
Strukturen abbilden lassen. Bei 
OWL stand nun exakt dieser 
Aspekt im Vordergrund. 
SKOS, das Simple Know- 
ledge Organisation System, ist 
eine auf RDF aufsetzende for- 
male Sprache für die Kodie- 
rung von Dokumentationsspra- 
chen. Mit SKOS können 
semantische Strukturen be- 
schrieben und maschinenlesbar 
gemacht werden. Das W3C 
hat SKOS als modulare und 
erweiterbare Sprachfamilie 
entworfen, deren Einsatz so 
einfach wie möglich sein soll. 


Q RDFPic 


Mittlerweile gibt es einige An- 
wendungen, die sich der ge- 


A-TRACT 


@ Damit Rechner die Bedeutung dessen, was auf einer 
Abbildung zu sehen ist, extrahieren können, müssen dies- 
bezügliche Informationen explizit vorhanden sein. 


© Mikroformate und das Resource Description Framework 
(RDF) bilden das Gerüst für semantische Webanwendun- 
gen, die Web Ontology Language die hierarchische Struktur. 


@ Photostuff und Imagenotions bieten Werkzeuge wie RDFPic, 
erste Hilfe bei der Erstellung von Annotationen zu Bildern. 
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Listing: RDFPic-Daten 


<rdf:Desceription rdfzabout=""> 
<sO:creator>Bert Bose/sQ:creator> 


ssü:rights>Bert Bos</s0:rights> 
ss0:type>inages/sQ:type> 


<s0:date>1999-06-26</s0:date> 
ssi:camera>Canon Eos 5</sizcamera> 
<s2:xnllang>en</s2:xnllang> 


ss0:fornat> inage/ jpeg</sQ:format> 
</rdf:deseription> 
<Irdf:RdP> 


<?xnl version='1.0" encoding="180-8859-1'% 
srdf:RdF xnlnsirdf="http://unw.w3.0rg/1999/02/22-rdf-syntax-ns#" 
xnlnssrdfs="http://unn.w3.org/TR/1999/PR-rdf-schema-19990303#" 
xnlns:s0="http://unw.w3.org/2000/PhotordF/de-1-0#" 
xnlns:si="http://unw.w3.org/2000/PhotordF/technical-1-0#" 
xnlnsss2="http://sophia.inria, fr/»enerbonn/rdfpiclang#"> 


<s0:relation>Marian in the Tarn</s0:relation> 


<s0:identifier>990621</s0:identifier> 
ssl:coverage>Montredon-Labessonie (Tarn)</sD:coverage> 


ss0:title>Marian with sheep</sQ:title> 

ss0:subject>Landscape, Animal</sQ:subject> 

<s0:publisher>Bert Boss/s0:publisher> 

<sO:description>Narian brings the sheep to the field in the morning. The lanb she 
carries was born that night.</sO:description> 


nannten Techniken bedienen 
und Bildannotationen ermög- 
lichen. Eine der bekannteren 
ist derzeit sicherlich das vom 
W3C in Java implementierte 
RDFPic [f]. In erster Linie 
dient es Demonstrationszwe- 
cken. Eine Fotobeschreibung 
setzt sich hier immer aus drei 
Teilen zusammen. 
— Eine Beschreibung nach 
Dublin Core. Dabei handelt es 
sich um ein ursprünglich für 
die Erfassung von Büchern 
genutztes Format. In Dublin 
Core sind 15 Eigenschaften 
definiert, die zur Beschrei- 
bung von Bildern dienen kön- 
nen. Bei RDFPic kommen 
„title“, „description“, „crea- 
tor“, „date“ und „type“ zum 
Einsatz. 
— Technische Details zu Ka- 
mera, Film et cetera. 
— Zusätzlich eine inhaltliche 
Information. 
Bildbeschreibungen wer- 
den in der JPEG-Datei inner- 
halb der Kommentarblöcke 
gespeichert. Das sind Blöcke 
vom Typ COM, wie sie ISO 
DIS 10918-1 definiert. Ent- 
sprechend dem JPEG-Standard 
kann ein Kommentarblock be- 
liebigen Text enthalten. Wich- 
tig ist die Begrenzung dieser 
Blockgröße auf 64 KByte. Da 
aber wiederum die Anzahl 
der Blöcke unbegrenzt ist, 
kann man beliebig viele hin- 
zufügen. Normalerweise ge- 
raten die von RDFPic gene- 
rierten Beschreibungen aber 
ohnehin nicht größer als eini- 
ge Hundert Byte. Wenn man 


zusätzlich den ebenfalls vom 
W3C entwickelten Webser- 
ver Jigsaw [g] verwendet, 
sieht ein typisches Metada- 
ten-Beispiel im RDF-Format 
(von RDFPic generiert und 
per Jigsaw ausgeliefert) aus 
wie obiges Listing. 


1 PhotoStuff 


Ein weiteres Annotations- 
Tool ist das von der Mind- 
swap Research Group der 
University of Maryland ent- 
wickelte Photostuff [h]. Mit 
diesem Tool können genauso 
wie bei RDFPic Ontologien 
eingesetzt werden, um den 
Inhalt von Bildern besser zu 
beschreiben. Dabei ermög- 
licht es dieses Tool, jedes 
Bildteil zu nehmen und mit 
Ontologien (RDF oder OWL) 
auszustatten. Im Vergleich zu 
RDFPic wirkt Photostuff 
deutlich weiter entwickelt. 
Der Ablauf für die Bild- 
annotation ist immer gleich. 
Nach dem Bild lädt Photo- 
stuff die Ontologien. Dabei 
kann die Ontologie-Datei ei- 
ne physikalische URL sein 
oder auf der lokalen Festplat- 
te vorliegen. Anschließend 
muss man die für die Me- 
dienliste und das Suchen ver- 
wendete Datenbank einstel- 
len. Jetzt kann man die 
Bildbeschreibungen hinzufü- 
gen. Das geht leicht, indem 
man eine Klasse vom Klas- 
sen-Baum auf das Bild zieht. 
Das erzeugt eine neue In- 
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Metadaten 


stanz des spezifizierten Klas- 
sentyps. Sollte es innerhalb 
des Bildes einzeln zu be- 
schreibende Regionen geben, 
greift man ebenfalls auf den 
Klassen-Baum zurück. An- 
schließend lässt sich die An- 
notation im RDF-Format 
speichern. 

Momentan lassen sich in 
Photostuff ausschließlich Bil- 
der in Formaten wie JPEG, 
PNG oder GIF laden. In Zu- 
kunft soll das Tool außerdem 
Video- und Audiodateien un- 
terstützen. Eine interessante 
Funktion verbirgt sich im Me- 
nüpunkt Bookmarks. Hierüber 
können Anwender Lesezei- 
chen auf Ontologien und Bil- 
der setzen, um auf diese 
schneller zuzugreifen. Eben- 
falls für die bessere Bedien- 
barkeit haben die Entwickler 
eine Suchfunktion integriert. 
Nach der Eingabe eines 
Schlüsselbegriffs können die 
Labels und IDs aller Instan- 
zen und Bilder, die in der ak- 
tuellen Datenbank enthalten 
sind, durchsucht werden. Ei- 
nige Medientypen wie JPEG 
können Metadaten in ihren 
Headern enthalten. Die be- 
kannteste Anwendung dafür 
dürften sicherlich Informa- 
tionen wie Datum und Uhr- 
zeit einer Aufnahme sein. 
Sobald man ein Bild, das sol- 
che Metadaten besitzt, in 
Photostuff lädt, liest es diese 
Informationen aus und fügt 
sie in die Annotation des Bil- 
des ein. 

Leider lässt die Bedie- 
nungsfreundlichkeit zu wün- 


schen übrig. So funktioniert 
das Ganze zwar recht gut, 
wenn man sich innerhalb ei- 
ner Instanz bewegt, wenn aber 
eine andere Instanz hinzu- 
kommen soll, muss die zu- 
nächst angelegt werden. Das 
freilich setzt vom Anwender 
einiges an Wissen voraus. ZU- 
mindest muss er verstehen, 
was Instanzen, Klassen und 
Klassen-Bäume sind. Damit 
Photostuff auf dem Server 
läuft, müssen dort Python, die 
Berkeley DB und Apache in- 
stalliert sein. Eine ausführliche 
Konfigurationsbeschreibung 
gibt es auf der Entwicklerseite 
— außerdem eine Bedienungs- 
anleitung. 


© Imagenotion 


Zu den Protagonisten der 
Bildannotationen gehört das 
Forschungszentrum Informa- 
tik Karlsruhe (FZI, [i]). An- 
dreas Walter und Gabor Na- 
gypal entwickeln das System 
Imagenotion [j], das schon 
jetzt zeigt, in welche Richtung 
sich Bildannotationen im All- 
gemeinen und Bildersuchma- 
schinen im Speziellen entwi- 
ckeln können. 

Für die Beschreibung gan- 
zer Bilder und Bildausschnitte 
werden sogenannte Imageno- 
tions erzeugt. Diese sind ein 
Satz elektronischer Etiketten, 
die die Software automatisch 
zu einer elektronischen Kar- 
teikarte zusammenfasst. Im- 
agenotions beschreiben se- 
mantische Konzepte visuell. 


Rena supphenlle Opsjeröfsan hitengewlnsfimaceuchetalie = | #p | X 2» 
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Mehrere Ergebnisse für die Suchzeichenkette „Solana” 


(Abb. 1) 
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Sie bestehen jeweils aus einem 
Bild und mehreren Textetiket- 
ten. So kann man für die Per- 
son „Javier Solana‘ eine Im- 
agenotion erstellen, die ein sie 
charakterisierendes Bild zu- 
sammen mit den Textetiketten 
„Javier Solana“ und „Solana“ 
enthält. Diese Imagenotion 
kann mit weiteren in Bezie- 
hung gesetzt werden. Die so 
erstellten Imagenotions lassen 
sich zur semantischen Annota- 
tion von Bildern nutzen. 

Im Fall von Solana könnte 
man die Imagenotion „Javier 
Solana“ mit den anderen wie 
„Person“, „Europäische Union“, 
„Generalsekretär“ und „Euro- 
pa“ verbinden. Weiterhin lie- 
Be sich „Generalsekretär“ mit 
„Beruf“ verbinden und so 
ausdrücken, dass Javier Sola- 
na der Generalsekretär der 
Europäischen Union ist. 


Finde den 
Generalsekretär 


Zur Annotation wird zunächst 
ein relevanter Bildausschnitt 
mit einem Ausschnittsrahmen 
markiert und mit der entspre- 
chenden Imagenotion verbun- 
den. Angenommen, es gibt 
ein Foto einer Personengrup- 
pe, auf der unter anderem Ja- 
vier Solana zu sehen ist. In 
diesem Fall wäre der Bildaus- 
schnitt, der das Gesicht von 
Javier Solana zeigt, mit der 
Imagenotion „Javier Solana“ 
verbunden. 

Diese Vorgehensweise er- 
leichtert einerseits die Anno- 
tation und verbessert gleich- 
zeitig die Suchergebnisse. So 
reicht es beispielsweise Bil- 
der, die Javier Solana zeigen, 
mit der Imagenotion für die- 
se Person zu annotieren. 
Gleichzeitig wird dieses Bild 
bei Suchanfragen für „EU 
Generalsekretär“ ebenfalls 
gefunden. 

In diesem Zusammenhang 
kommt ein weiterer Vorteil 
solcher Systeme zum tragen: 
das Handling der Mehrspra- 
chigkeit. Die lässt sich bei 
Imagenotion — anders als bei 
vergleichbaren Lösungen - 
einfach realisieren. Denn hier 


können jedem Ontologieele- 
ment Synonyme auch in an- 
deren Sprachen zugeordnet 
werden. 

Eine wichtige Frage ist, 
wie diese Annotationen ver- 
wendet werden. Zusätzlich 
zur klassischen Bildsuche 
sollten die Benutzer mit einfa- 
chen Mausklicks zwischen 
verschiedenen Bildern navi- 
gieren können. Mit anderen 
Worten möchte ein Projekt 
wie Imagenotion ein soge- 
nanntes Image Web schaffen, 
in Analogie zum World Wide 
Web, wo die Benutzer zwi- 
schen den Webseiten durch 
Mausklicks navigieren. Im 
Fall von Javier Solana könnte 
das so aussehen, dass dem 
Benutzer ein Bild mit ver- 
schiedenen EU-Staatschefs 
angezeigt wird, auf denen un- 
ter anderem der EU-General- 
sekretär zu sehen ist. Klickt 
man auf den Solana-Bildteil, 
erscheinen alle Bilder, die So- 
lana im Kontext der Europäi- 
schen Union zeigen. 

In klassischen semantischen 
Systemen bleibt die Ontolo- 
gieentwicklung getrennt von 
der eigentlichen Annotation. 
In Imagenotion wird ihre Er- 
stellung dagegen im Annota- 
tionsprozess eng integriert. 
Immer wenn bei der Annota- 
tion eine Imagenotion fehlt, 
kann der Benutzer eine neue 
erstellen. 


Metadaten 
per Drag & Drop 


Das System verwendet Web- 
2.0-Techniken, um eine benut- 
zerfreundliche Schnittstelle zu 
schaffen und bietet hierfür 
Funktionen wie Drag & Drop 
sowie Autocomplete an. So 
lassen sich etwa Bildannota- 
tionen per Drag & Drop er- 
stellen. 

Zusätzlich zur manuellen 
Annbotation bietet das System 
eine automatische Annota- 
tionsgenerierung. Imageno- 
tion wird hierzu in dem vom 
FZI geleiteten EU-Projekt 
Imagination [k] erweitert. 
Ziel des Projekts ist die weit- 
gehende Automatisierung der 
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Metadaten 


Sa 
magnatiom?/twickebbookmarkzbleitagen %ainto.maiten = | + | % | ß P= 
||| Ds Besieten Ansicht Favoriten Entres 7 
0 Semch Res BB 
Dat 
My imagenot. se 
Image 
ir yN 
air Ausb ee . Javier Solana 
f Number of imagesı 13 
creatad by: Hana 
2 E‘ 
7 - 
D094200M26h 0114530412 n118510023h 
iR @ zeemet | Geschüitster Modus: inaktiv “10% - 


Imagenotions ermöglicht das Anlegen von Annotationen 


per Drag & Drop (Abb. 2). 


Erstellung semantischer An- 
notationen. Die Projektpart- 
ner bringen Techniken der 
Bereiche Gesichtserkennung 
und -identifizierung, Objekt- 
und Personenerkennung so- 
wie Texterkennung ein. 

Die Kombination dieser 
Techniken hat das FZI in 
Imagenotion integriert. Nach 
dem Laden von Bildern (oder 
bei manuellem Start des An- 
notations-Prozesses) werden 
semantische Informationen 
automatisch erstellt. Die ge- 
sammelten Informationen 
können Anwender manuell 
verfeinern oder gegebenen- 
falls korrigieren. In dieser 
automatischen Annotation 
liegt ein großer Vorteil von 
Imagenotion. Denn die größ- 
te Schwierigkeit bei anderen 
Verfahren ist es nun mal, 


dass die Annotierung von 
Hand erfolgen muss. Hier 
kann Imagenotion dem Men- 
schen zumindest teilweise die 
Arbeit abnehmen. Das aber 
ändert nichts an der Tatsache, 
dass auch bei Imagenotion 
nach wie vor der kategorisie- 
rende Mensch vorausgesetzt 
wird. 


MPEG-7 


Außer Anwendungen wie den 
hier vorgestellten gibt es her- 
kömmliche Bild- und Multi- 
mediaformate für die Annota- 
tion. Klassische Grafik- und 
Multimedia-Formate lassen 
sich, das haben die vorgestell- 
ten Anwendungen gezeigt, 
durchaus annotieren. Sie un- 
terliegen aber verschiedenen 


Restriktionen. Ein neuer Stan- 
dard war deshalb erforderlich. 

2002 hat die Moving Pic- 
ture Experts Group MPEG-7 
[1] verabschiedet. Das Multi- 
media Content Description 
Interface, so der eigentliche 
Name des Standards, be- 
schreibt multimediale Daten 
mit in einem oder mehreren 
XML-Dokument(en) gespei- 
cherten Metainformationen. 
Dieses neue Format ist schon 
vor dem Hintergrund der 
Annotation von Bildern, Vi- 
deos und Musik entstanden. 
Die in MPEG-7 definierten 
Beschreibungen bestehen aus 
Deskriptoren und Strukturen. 
Erstere enthalten die Merkma- 
le der audiovisuellen Daten. 
Eingebettet sind Deskriptoren 
in Strukturen, die ihnen einen 
Kontext zuweisen. 

Zur Definition von Des- 
kriptoren und Beschreibungs- 
strukturen dient die Descrip- 
tion Definition Language 
(DDL) - eine Erweiterung 
von RDF, die es erlaubt, 
MPEG-7-Beschreibungen für 
die Anforderungen der jewei- 
ligen Applikation anzupassen. 
Das Ziel von MPEG-7 ist ei- 
ne Vereinheitlichung bei der 
Indizierung multimedialer Da- 
ten. Denn bisherige Beschrei- 
bungsstandards wie Dublin 
Core stellen Metadaten ledig- 
lich für einen kleinen Teil des 
Metadaten-Lebenszyklus zur 
Verfügung. 

Insgesamt ist MPEG-7 in 
zehn verschiedene Sparten 


[a] Resource Description Framework (RDF) 

[b] Überblick über die OWL Web Ontology Language 
[e] Simple Knowledge Organization System (SKOS] 
[d] SPARQL Query Language for RDF 


[el RDF Schema 


[ RDFPIc 
[g] Jigsaw 
[h] PhotoStuff 
I] Fzı 


[| Imagenotion 

[kl] Imagination-Projekt 

I] MPEG-7 

[m] Photol2 

[n] Deniz Saylans Homepage 


www.w3.org/RDF/ 


www.w3c.org/TR/owl-features 
www.w3.org/2004/02/skos/ 


www.w3.org/TR/rdf-spargl-query/ 
www.w3.org/TR/rdf-schema/ 


jigsaw.w3.org/rdfpic/ 
www.w3.org/Jigsaw/ 


www.mindswap.org/2003/PhotoStuff/ 


www.fzi.de 


www.imagenotion.com 


www.imagination-project.org 


www.chiariglione.org/mpeg/standards/mpeg-7/mpeg-7.htm 


www.photo12.com 


www.denizsaylan.com 


aufgeteilt. Das soll einen iso- 
lierten Einsatz der jeweiligen 
Techniken ermöglichen. Ty- 
pische Bereiche sind Audio- 
deskriptoren (für Audiosigna- 
le), Multimedia Description 
Schema (eine Bibliothek von 
Beschreibungsstrukturen) und 
Systems (beschreibt das 
Speicherformat der MPEG-7- 
Dokumente). Kritiker könn- 
ten jetzt einwenden, dass auf- 
grund des XML-Ansatzes 
MPEG-7 die Nachteile (bei- 
spielsweise hoher Speicher- 
bedarf) von XML-basierten 
Beschreibungen übernom- 
men habe. Dem ist nicht so. 
Die MPEG-7-Entwickler ha- 
ben diese Stolpersteine auf 
Speicherebene umgehen kön- 
nen, indem sie MPEG-7- 
Werkzeuge für die effiziente 
Kodierung und inkrementelle 
Übertragung von XML-Do- 
kumenten integriert haben. 


Fazit 


Die ontologiegestützte An- 
notation als Voraussetzung 
für das semantische Web 
steht noch am Anfang, den 
Kinderschuhen ist sie aber 
entwachsen. Deutlich ma- 
chen das zunächst die vom 
W3C vorangetriebenen Spe- 
zifikationen zu OWL, RDF 
et cetera. Dass diese Techni- 
ken heute einsetzbar sind, 
zeigen Tools wie RDFPic 
und Photostuff ansatzweise. 
Weiter — auch was die 
Marktreife anbelangt — ist 
man beim FZI mit Imageno- 
tion. Das Projekt soll Mitte 
nächsten Jahres marktreif 
sein und hauptsächlich für 
Bildersuchmaschinen im Be- 
reich professioneller Foto- 
Agenturen zum Einsatz kom- 
men. Schon jetzt nutzen 
einige Imagenotion aber in 
der Praxis [m, n]. (hb) 


DANIEL KOCH 


arbeitet als freiberuflicher 
Entwickler und Autor. 
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Schadsoftware 


Z weifelsfrei war 2007 
das Jahr der Web Ex- 
ploit Toolkits (WET): 
Programme wie MPack, Ice- 
Pack, NeoSploit und andere 
präsentierten die neue und äu- 
Berst effektive Art von An- 
griffssoftware. Mit FirePack 
wurde Anfang 2008 ein wei- 
teres WET der Öffentlichkeit 
bekannt. 

Im Geschäftsprozess rund 
um die Malware spielen WETs 
eine entscheidende Rolle, sind 
sie doch maßgeblich für die In- 
fektion neuer Clients und da- 
mit den wirtschaftlichen Erfolg 
des gesamten Kreislaufs ver- 
antwortlich. Sie können die 
betroffenen Client-Systeme — 
meist mit Windows als Be- 
triebssystem — beispielsweise 
in kriminellen Zwecken die- 
nende Bot-Netze integrieren. 
Alternativ kann der WET-Ser- 
ver-Betreiber infizierte Client- 
Systeme auch an Interessierte 
weiterverkaufen, die diese zum 
Beispiel für Denial-of-Ser- 
vice(DoS)-Angriffe nutzen. 


Lockmittel 
für die Clients 


Bis ein Client-Rechner seinen 
Dienst als „Bot“ verrichtet, 
sind allerdings eine ganze Rei- 
he von Schritten erforderlich. 
Alles beginnt mit der Infektion 
des Client-Rechners über den 
WET-Server. Beim Besuch ei- 
ner entsprechend präparierten 
Webseite auf dem WET-Ser- 
ver identifiziert dieser zu- 
nächst die Browser-Version 
sowie das Betriebssystem des 
Clients und nutzt anschließend 
einen passenden Exploit aus — 
meist für eine Browser-Sicher- 
heitslücke. Nachdem der Ex- 
ploit auf dem Client beliebigen 
Schadcode injiziert hat, lädt 
Letzterer eine meist binäre Da- 
tei nach, den sogenannten Loa- 
der. Erst dieser — der zudem 
individuell auf das aktuelle 
Szenario zugeschnitten sein 
kann - lädt wiederum den ei- 
gentlichen Schadcode auf den 
Client-Rechner nach, etwa die 
Steuersoftware für den DoS- 
Angriff. Dieses Vorgehen er- 
möglicht es unter anderem, 
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Masseninfektionen mit Web Exploit Toolkits 


Böse Automaten 


Christoph Wegener, Dominik Birk 


Seit sich Malware vom Spielzeug zum Geschäftsmodell entwickelt 
hat, sind auch die Wege ihrer Verbreitung immer raffinierter geworden. 
Der letzte Schrei sind sogenannte Web Exploit Toolkits. 


verteilte WET-Serversysteme 
zu nutzen und damit deren 
Entdeckung und Stilllegung 
erheblich zu erschweren -— 
doch dazu später mehr. 

Damit ein Angreifer einen 
Client-Rechner infizieren 
kann, muss er ihn zunächst 
auf einen WET-Server lo- 
cken. Dazu stehen ihm ver- 
schiedene Optionen zur Ver- 
fügung. Ein probates Mittel 
ist die Infektion eines bekann- 
ten und stark frequentierten 


Webservers. Der Angreifer 
kann dazu entweder das WET 
direkt auf dem Server platzie- 
ren oder aber über die Integra- 
tion eines IFrame in den Web- 
auftritt einen weiteren Server 
einbinden, der dann auf das 
eigentliche WET verweist. 
Zur weiteren Verschleierung 
kann er sich einer ganzen 
Kette von IFrame-Referen- 
zierungen bedienen, die suk- 
zessive jeweils aufeinander 
verweisen. 


Für die Manipulation eines 
Webservers muss ein Angrei- 
fer ihn zunächst unter seine 
Kontrolle bringen. Der Ein- 
bruch in die Server erfolgt da- 
bei meist über eine Techniken 
wie „Remote File Inclusion“ 
(kurz: RFI) oder „Mass SQL 
Injection“, die an sich Stoff 
für einen weiteren Artikel lie- 
fern würden. Die Ursachen 
für deren Erfolg liegen oft in 
fehlerhaft geschriebenen ser- 
verseitigen Skripten. Sie er- 
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Schadsoftware 


möglichen es Angreifern, eine 
Shell auf den Server zu brin- 
gen, die wiederum das Aus- 
führen beliebiger Aktionen im 
Kontext des Webservers er- 
laubt. Dies sollte ein weiterer 
Grund sein, die Server seiner 
Webpräsenz — inklusive aller 
Webapplikationen — regelmä- 
Big zu aktualisieren. 

Daneben lassen sich Metho- 
den wie „SEO IFrame Injec- 
tion“ (SEO steht für „Search 
Engine Optimization“) nutzen, 
um den Client auf den WET- 
Server zu locken. Dabei nutzt 
der Angreifer häufig eine 
XSS-Schwachstelle (Cross- 
Site-Scripting) in einer be- 
kannten und deshalb im Goo- 
gle-Ranking hoch bewerteten 
Webseite aus und platziert per 
HTTP-GET-Parameter einen 
IFrame darin. Gelingt dies, 
kann der Angreifer den URL 
inklusive der XSS-Schwach- 
stelle in großem Stil publizie- 
ren. Dadurch tauchen die infi- 
zierten URLs nun aber auch 
im Suchmaschinen-Ranking 
weiter oben auf, was die 
Chance, von einem potenziel- 
len Opfer aufgerufen zu wer- 
den, nochmals erhöht. 

Der Kauf ähnlicher Do- 
main-Namen, um Vertipper zu 
bedienen, oder der Erwerb von 
Suchmaschinen-Ads — quasi 
den kostenpflichtigen Links zu 
diversen Suchwörtern — sowie 
den Einsatz von Spam stellen 
weitere gängige Wege dar, die 
Angreifer nutzen können, um 
Opfer auf den kompromittier- 
ten Server zu locken. 

Wie oben angesprochen, 
vollzieht sich die Infektion ei- 
nes Client-PCs in mehreren 
Schritten. Wurde der Client 
auf den WET-Server gelockt, 
tritt das Exploit-Skript in Ak- 
tion — meist in Form eines 


PHP-Skriptes. Dieses analy- 
siert zunächst die Version des 
verwendeten Browsers und des 
Systems, indem es etwa den 
„User-Agent“ auswertet. Dar- 
aus lassen sich Rückschlüsse 
auf die verwendete Browser- 
Version und damit zum Teil 
indirekt auf das verwendete 
Betriebssystem ziehen, denn 
ein MS Internet Explorer lässt 
sich unter Linux nur schwer 
verwenden. Eine Analyse der 
IP-Adresse kann außerdem In- 
formationen über den Standort 
des Rechners und damit auf 
die Sprachversion liefern. 


Mehrere Schritte 
zum Erfolg 


Auf Basis der so gesammelten 
Daten wählt das WET den 
Exploit aus, überträgt ihn an 
den Rechner des Opfers und 
führt ihn dort aus. MPack und 
IcePack tragen den Nutzer zu- 
dem in eine Datenbank ein, 
FirePack legt die Daten in 
verschiedenen Textdateien ab. 
Unter diesem Gesichtspunkt 
ist es auch interessant, dass 
alle WETs Funktionen zum 
Blocken beziehungsweise 
Wiedererkennen von IP- 
Adressen eingebaut haben. 
Sie sollen verhindern, dass 
derselbe Client mehrfach at- 
tackiert wird. 

Anschließend lädt der auf 
dem Client ausgeführte Ex- 
ploit eine (meist) binäre Datei 
nach — den sogenannten Loa- 
der. Letzterer muss dabei nicht 
zwingend vom WET-Server 
stammen, sondern kann sich 
auf einem weiteren Host befin- 
den. Schließlich führt der 
Client den Loader aus, der 
wiederum den eigentlichen auf 
dem Client auszuführenden 


A-TRACT 


© Die Verbreitung von Malware hat sich inzwischen vom 
Spielzeug zum Geschäftsmodell entwickelt. 


© WETs - Web Exploit Toolkits - sind das aktuelle Mittel 
der Wahl für die Infektion von Rechnersystemen. 


© Diverse Verschleierungsmethoden erschweren die 
Erkennung von WETs außerordentlich. 
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Crimeware - das Geschäftsmodell 


Crimeware 


Crimeware 


‚Administration 


ı * Spam 


' e Finanzdaten 


® persönliche Daten 


Crimeware 
Distribution 


ı * gecrackte Webseiten 


Infektionsroutinen 


ı ® Browser Exploits 
: eunbedarfte Nutzer 


Rund um die Verteilung von Schadsoftware hat sich 
unter dem Schlagwort Crimeware ein einträgliches 
Geschäftsmodell etabliert (Abb. 1). 


Schadcode nachlädt. Sind alle 
diese Schritte erfolgreich aus- 
geführt, ist der Client infiziert 
und fungiert von nun an ganz 
im Sinne des Angreifers. 


Ein Vergleich 
des Bösen 


Im weiteren Text folgt eine 
Gegenüberstellung der drei 
bekannten WETs MPack, Ice- 
Pack und FirePack. MPack 
vom „Dream Coders Team“ 
ist dabei das „älteste“ WET, 
das schon seit 2006 im Inter- 
net kursiert. Das 2007 ent- 
deckte IcePack von der „IDT 
Group“ stellte erstmals eine 
IFrame-Funktion in einem 
WET zur Verfügung. Fire- 
Pack, über dessen Urheber 
nichts bekannt ist, tauchte für 
die breite Öffentlichkeit sicht- 
bar Anfang 2008 auf, es lie- 
gen aber durchaus Hinweise 
vor, dass es schon im Jahre 
2007 im Einsatz war. 

Zudem lässt sich feststel- 
len, dass für die drei WETs 
völlig unterschiedliche Preise 
gelten. Während MPack zu 
Preisen zwischen US$ 700 
und US$ 1000 gehandelt 
wurde, sind für IcePack etwa 
US$ 400 zu zahlen. Firepack 
hingegen fällt mit US$ 3000 
etwas aus dem Rahmen. Das 
Preismodell an sich ist modu- 
lar. So kann man beispiels- 
weise gegen ein kleines Extra- 
Entgelt eine Garantie auf 
Nicht-Erkennung durch die 


gängigsten Virenscanner be- 
kommen. Ein solches Modell 
ergibt vor allem deshalb einen 
Sinn, da sich die Skripte - 
und WETs sind im Grunde 
nichts anderes als eine Samm- 
lung solcher - leicht kopieren 
lassen. Im Internet findet man 
daher an zahlreichen Stellen 
Kopien der gängigsten WETS. 
Interessierte seien jedoch ge- 
warnt: Das Risiko bei der 
Verwendung kopierter WETs 
ist genauso hoch wie bei nor- 
malen Softwarekopien. Es kur- 
sieren auch Versionen von 
WETs, die eine zusätzliche 
Hintertür enthalten und somit 
auch den interessierten Laien 
zum Opfer werden lassen. 
Beim Experimentieren mit 
den WETs ist somit große 
Vorsicht angebracht, zudem 
sind natürlich auch die ein- 
schlägigen gesetzlichen Rege- 
lungen zu beachten. 


Alles, was 
krank macht 


Hat der Angreifer das Opfer 
auf die infizierte Webseite ge- 
lockt, muss — möglichst unbe- 
merkt — die Infektion des 
Client-PC erfolgen. Dieser 
Prozess läuft, wie oben be- 
schrieben, in mehreren Schrit- 
ten ab. An letzter und ent- 
scheidender Stelle steht das 
Ausführen des für den jewei- 
ligen Client-PC passenden 
Exploits. Hierzu haben alle 
WETs mehrere mehr oder 
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weniger alte Exploits im Ge- 
päck. Diese beinhalten Exem- 
plare aus völlig unterschied- 
lichen Bereichen: Vom Media 
Player, der Management Con- 
sole, über Browser-spezifische 
Exploits für den Internet Ex- 
plorer bis zu Sicherheitslücken 
in diversen Add-ons wie dem 
Yahoos Messenger sind nahe- 
zu alle Komponenten aus dem 
Bereich Multimedia vertreten. 
Die Exploits sind als „Plug-in“ 
in die WETSs integriert. Das 
vereinfacht künftige Erweite- 
rungen und bietet auf der ande- 
ren Seite dem interessierten 
Anwender potenziell die Mög- 
lichkeit, eigene Exploits in das 
Framework einzubinden. 
WETs begegnen gängigen 
Intrusion-Detection-Techniken 
bei der Infektion des Clients 
vor allem durch Kodierung 
des Javascript-Payloads. Die- 
se Kodierung dient aber nicht 
der Geheimhaltung, denn den 
Schlüssel liefern die WETs 
direkt mit. Dieser ist aller- 
dings meist bei jeder Auslie- 
ferung des Schadcodes neu 
und vor allem zufällig ge- 
wählt. Das erschwert die Ana- 
lyse durch Intrusion-Detec- 
tion/Prevention-Systeme sehr, 
denn es gibt nun keinen vali- 
den Fingerprint des Schad- 
codes mehr. Damit wird eine 
automatische Erkennung des 
WET-Schadcodes und seine 
Bekämpfung fast unmöglich. 
Zur Vereinfachung der Be- 
dienung bringen alle WET: ei- 
ne mehr oder weniger ausge- 
feilte Verwaltungsoberfläche 
mit, die neben der reinen Be- 
dienung auch statistische Aus- 
sagen erlaubt. MPack bietet 


dazu ein Administrations-GUI, 
das aus einer einzelnen Web- 
seite besteht — aber immerhin 
statistische Infos dazu liefert, 
wie viele Clients angegriffen 
werden und welche Browser 
auf diesen Clients zum Einsatz 
kamen. 


Bedienung 
leicht gemacht 


IcePack bietet dem Admin 
dagegen eine deutlich detail- 
liertere Bedien- und Auswerte- 
möglichkeit. Nach Authentifi- 
zierung empfängt dieses WET 
den Administrator zunächst 
mit einer gut strukturierten 
Übersichtsseite, die System- 
informationen und den Zeit- 
punkt des letzten Zugriffs auf 
das Exploit-Script anzeigt. Da- 
rüber hinaus bietet es drei 
Dropdown-Menus, die dem 
Administrator weitere Infor- 
mationen liefern. Menu 1 stellt 
vor allem Funktionen zur sta- 
tistischen Auswertung (Anzei- 
ge der Herkunftsländer der 
Client-PCs, Löschen der Sta- 
tistiken, ...) zur Verfügung. 
Menu 2 gibt dem Administra- 
tor eine Funktion, die bisher 
kein anderes WET hat: das 
automatisierte Ablegen von 
Schadcode auf Webservern. 
Hierzu muss man lediglich ei- 
ne Datei mit „bekannten“ FTP- 
Zugängen bereitstellen, alle 
weiteren Schritte übernimmt 
IcePack voll automatisiert. 
Diese Funktion erlaubt zudem 
nicht nur das „IFramen“ von 
Webservern, sondern ist flexi- 
bel gestaltet. Im Prinzip ließe 
sich so auch eine automatisier- 


Web Exploit Toolkits - Client-Infektion 


IFRAMEÄinfizierter Opfer SETIFRAME WET-Host 
Webserver GET index.html Exploit () >> 
HTML mit IFRAME 

auf WET Host SET Loader 

execute Loader.exe 
(Loader.exe) 
GET Malware, 
execute 

(Malware.exe) | goes 


Für die Client-Infektion reicht unter Umständen der einma- 
lige Besuch einer WET-verseuchten Website aus (Abb. 2). 
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Web Exploit Toolkits - Infektionsroutine 


Angreifer 


IFRAMEiinfizierter 
Webserver 


“ NN 
I „el R ı 
ae, 


Bau=t 


var shellcode = unescape("u4343% 
"%ue243%uebfa%ue805%uffechuffff%u 
"%u64elhub903%u6187%ue1a1%u0703%u 


Eine Infektion über ein WET erfolgt in mehreren Schritten 


(Abb. 3). 


te Weiterverbreitung des Ice- 
Pack selbst erreichen. Menu 3 
schließlich enthält noch drei 
kleine, nützliche Werkzeuge: 
Hier kann man individuellen 
IFrame-Code bearbeiten, ein- 
stellen, welche IP-Adressen 
das Toolkit blockieren soll und 
den Zugangscode zum Admi- 
nistrator-Account ändern. 

Obwohl das jüngste WET, 
bietet FirePack bei Weitem 
nicht die Administrationsmög- 
lichkeiten des IcePack. Zwar 
bietet es auch eine statistische 
Analyse, darüber hinaus aber 
lediglich zwei weitere Funktio- 
nen. So kann der Administra- 
tor die Referer einsehen und 
löschen. Die Liste der zu blo- 
ckierenden IP-Adressen muss 
man hingegen per Textdatei 
(ip_ban.txt) festlegen. Wie 
schon erläutert nutzt FirePack 
keine Datenbank, sondern legt 
alle Informationen in Textda- 
teien ab. Diese Einschränkung 
beziehungsweise der geringe 
Funktionsumfang sind aber auf 
der anderen Seite der entschei- 
dende Vorteil von FirePack: 
Eine geringe Dateigröße und 
eine enorme Kompaktheit der 
Funktionen führen zu einer ho- 
hen Effizienz. 


Verteidigung 
ist schwer 


Schutzmaßnahmen gegen pro- 
fessionell gemachte WETs 
sind nicht einfach umzusetzen. 
An erster Stelle sollte immer 
das Patchen des verwendeten 


Betriebssystems, des Browsers 
und anderer Software stehen. 
Hier sind möglichst unverzüg- 
lich nach Veröffentlichung alle 
Hersteller-Patches einzuspie- 
len — wenn das technisch 
machbar ist. Und dies gilt 
nicht nur für die Clients, son- 
dern erst recht für Webserver, 
bieten diese wie beschrieben 
oft überhaupt erst die Grundla- 
ge für einen erfolgreichen An- 
griff. Dabei darf man aller- 
dings nicht vergessen, dass 
Angreifer immer mehr Zero 
Day Exploits ausnutzen, sich 
also Schwachstellen bedienen, 
die weder dem Hersteller noch 
der Allgemeinheit bekannt 
sind. Dagegen hilft dann auch 
Patchen nicht mehr, schlicht 
und ergreifend deswegen, 
weil zumindest in einem 
mehr oder weniger großen 
Zeitfenster kein Patch zur 
Verfügung steht. 

Neben einem System auf ak- 
tuellem Stand kann man Tech- 
niken einsetzen, die die Aus- 
führung von Javascript-Code 
auf dem Client verhindern, 
oder zumindest deutlich ein- 
schränken. Die Firefox-Exten- 
sion „NoScript“ bietet dazu ein 
kostenloses Werkzeug, dass 
die Ausführung von Java- 
Script-Code nur für vertrau- 
enswürdige Webseiten erlaubt. 
Hat der Angreifer aber eine 
(ehemals) vertrauenswürdige 
Webseite unter seine Kontrolle 
gebracht, ist auch hier der Er- 
folg der Maßnahmen stark ein- 
geschränkt. Hinzu kommt, 
dass viele Webseiten heute 
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einfach auf Javascript bauen — 
eine breit gestreute Akzeptanz 
dieser Abwehrmethode ist so- 
mit ebenfalls fraglich. 

Eine weitere Option ist die 
Verschleierung der verwende- 
ten Version des Webbrowsers. 
Da der Erfolg des Exploits in 
vielen Fällen von der Kenntnis 
der verwendeten Browsers ab- 
hängt, kann man den Angreifer 
hier zumindest so verwirren, 
dass er den falschen Exploit 
anwendet und der Angriff da- 
mit ins Leere läuft. Allerdings 
dürfte es — falls sich diese 
Schutzmaßnahme durchsetzen 
sollte — nur eine Frage der Zeit 
sein, bis sich die Angreifer 
darauf eingestellt haben. Durch 
wahlloses Testen könnten sie 
diesen Schutz schnell umge- 
hen. Zudem darf man nicht 
verschweigen, dass diese Maß- 
nahme die Benutzbarkeit im 
Alltag des Web einschränken 
kann. 

Schließlich würde das Blo- 
cken von IP-Adressen, die 
als Malware-Verbreitungsweg 
bekannt sind, einen kleinen zu- 
sätzlichen Schutz bieten. Wie 
alle Blacklist-Ansätze steht 
und fällt dies mit der Aktua- 
lität und birgt Risiken eines 
Denial of Service (DoS) gegen 
Unbeteiligte. Im Zeitalter von 
Bot-Netzen und FastFlux ist 
der Erfolg von Blacklisting in 
Bezug auf die obigen Punkte 
zudem erst recht als wenig er- 
folgversprechend einzustufen. 

Während die bisher ge- 
nannten Maßnahmen eher auf 
dem PC des Anwenders statt- 
finden, existieren seit einiger 
Zeit Produkte, die sich eines 
zentraleren Ansatzes bedienen. 


Die auch Web-Reputationsfil- 
ter genannte Methode verwen- 
det einen Blacklist-Ansatz: 
Fragt der Nutzer eine URL an, 
prüft der Filter zunächst in 
Echtzeit, ob die betreffende 
URL auf einer Blacklist steht. 
Falls ja, warnt er den Nutzer 
oder — je nach Einstellung — 
verwehrt ihm den Zugang 
vollständig. Bei der Anfrage 
einer bisher unbekannten URL 
versucht das System hingegen 
aus mehreren Parametern, wie 
den Daten des Registrars, der 
Frequentierung der URL und 
anderen, eine Wertung (Sco- 
ring) für die „Gesundheit“ die- 
ser URL zu bestimmen. Aller- 
dings ist das System mit den 
für Blacklist-Ansätze typi- 
schen Schwächen, wie dem 
ungewollten Denial-of-Service 
Unbeteiligter, behaftet. 


Was bringt 
die Zukunft? 


WETSs erfreuen sich großer 
Beliebtheit in der Crimeware- 
Szene, denn damit lassen sich 
extrem effektiv Client-PCs an- 
greifen. Für den Nutzer stellt 
diese neue Art der Malware- 
Verbreitung eine enorme Ge- 
fahr dar. Allein der Besuch ei- 
ner Webseite reicht unter 
Umständen dazu aus, dass der 
Nutzer seinen Client-Rechner 
völlig unbemerkt mit Malware 
infiziert und ihn in einen fern- 
gesteuerten Bot verwandelt. 
WETs dürften in Zukunft 
weiter an Bedeutung gewin- 
nen. Vor allem die steigende 
Durchdringung der neuen Fä- 
higkeiten des Web-2.0 er- 


Web Exploit Toolkits - Host-Infektion 


\ components/com_arllinks/artlinks.dispnew. php®mosConfig_absolute { 
ı index2.php®x= inurlindex2.php®x=*.php" ! 
main.php?pagina= inurl:'main.php®pagina=*.php" i 
ı test.php@page= allinurl:test.php®page= 

1 components/com_phpshop/tollbar.phpshop.himl.phptmosConfig_absolute 


Google 
Dorking 


PHP Shell (57.099 ...) 
WET Software 


Bei einer Host-Infektion spielen oft fehlerhaft geschriebene 
serverseitige Skripte eine unrühmliche Rolle (Abb. 4). 
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Masseninfektionen von seriösen Webseiten 
www.heise.de/newsticker/meldung/106959/ 


Hack der „Miami Dolphins”-Website 


www.heise.de/newsticker/meldung/84761/ 


Remote File Inclusion 


en.wikipedia.org/wiki/Remote_File_Inclusion 


Hintergründe zum IcePack 


pandalabs.pandasecurity.com/blogs/images/Pandalabs/ 


2007/12/18/Icepack.pdf 
Infos zum Javascript-Toolkit 


www.0x000000.com/index.phpti=534 


schließt den Angreifern völlig 
neue Möglichkeiten. 

Zudem hat die Vergangen- 
heit gezeigt, dass die WET- 
Betreiber schnell auf verän- 
derte Bedingungen reagieren, 
die Entwicklungen im Bereich 
SEO-IFrame-Infektion sind nur 
ein Beispiel dafür. Auch das 
Javascript-Toolkit, das über die 
Manipulation des Title-Tag 
innerhalb von kürzester Zeit 
mehr als 10 000 Webseiten in- 
fizierte, ist unter diesem Ge- 
sichtspunkt interessant. Sein 
besonderer Clou: Es speichert 
die IP-Adressen der gängigen 
Suchmaschinen und liefert bei 
deren Anfragen „sauberen“ 
Code zurück. Greift aber ein 
potenziell verwundbarer (pri- 
vater) PC auf die Seite zu, so 
tritt das Script in Aktion und 
versucht eine ganze Reihe von 
Exploits auszuführen. Zudem 
bedient sich das Javascript- 
Toolkit mehrerer Mechanis- 
men zur Verschleierung — was 
vor allem die Erkennung durch 
Standard-Anti-Virus-Software 
erheblich erschwert. 


Fazit 


Malware ist definitiv kein 
Spielzeug mehr, sondern hat 
sich zu einem sehr ertrag- 
reichen Geschäftsmodell ent- 
wickelt. Daher verwundert es 
nicht, dass auch die Angreifer 
immer neue und effizientere 
Wege zur Verbreitung ihres 
Schadcodes suchen. WETs 
stellen momentan wohl einen 
beliebten, weil sehr effektiven 
Weg für einen Angreifer dar. 
Dies gilt vor allem, weil aus 
Sicht des Opfers schon der ein- 


malige Besuch einer verseuch- 
ten Webseite zur Infektion des 
eigenen Rechners ausreichen 
kann — und das Ende der Fah- 
nenstange scheint in Bezug auf 
die Möglichkeiten der Angrei- 
fer noch lange nicht erreicht. 
Eine Abwehr dieser Form von 
Malware gestaltet sich zudem 
nicht einfach, denn viele Maß- 
nahmen lassen sich aus Sicht 
der Angreifer einfach umge- 
hen. Eines steht dadurch aber 
jetzt schon fest: Es bleibt span- 
nend im Rennen zwischen An- 
greifer und Verteidiger. (avr) 
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Tools und Tipps 


Streaming mit dem VLC-Player 


Sendestation 


Horst Eidenberger 


Audio- und Videodatenströme 
ins Netz zu senden, ist keine 


Zauberkunst. Dazu muss man nicht 
mal einen Server einrichten: Der VLC-Player 


enthält alle Funktionen, die man zum Streamen braucht. 


halte lizenzierten Sendern vorbehal- 

ten. Im Netz hingegen darf es jeder. 
Mit der geeigneten Software lässt sich 
im Handumdrehen ein eigenes Pro- 
gramm auf die Beine stellen — etwa mit 
dem VLC-Player des VideoLAN-Pro- 
jektes (siehe Kasten „Onlinequellen“). 
Er ist für zahlreiche Betriebssysteme er- 
hältlich, darunter Linux, Mac OSX und 
Windows. Wer ein BSD, Solaris oder 
QNX einsetzt, muss den Quelltext aller- 
dings selbst übersetzen. 

Der VLC-Player ist als Einzelanwen- 
dung nutzbar, aber auch als Browser- 
Plug-in oder Entwicklungsumgebung 
für eigene Medienverarbeitungs-An- 
wendungen. Er unterstützt alle wichti- 
gen Codecs — darunter MPEG-4 Part 2 
und Part 10 (H.264), Sorensen und Win- 
dows Media Video (WMV) - und Con- 
tainerformate (siehe den Artikel „Turbu- 


f m Äther ist das Verbreiten eigener In- 


ajjf 
5 3: 


Een) lauen] 


Sendezenirale: Alle Streaming- 
Parameter lassen sich in einem Dialog 
einstellen. Vorgefertigte Profile 
erleichtern das Auswählen der Codecs 
und Containerformate. 
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lente Strömungen“ auf Seite 114). Dar- 
über hinaus bringt er Ein- und Ausgabe- 


filter für DVB-Datenquellen, HTTP- 
und FTP-Download sowie fast alle 
Streaming-Formate mit - einschließlich 
Microsofts MMS. 


Ü-Wagen 
auf dem Desktop 


Beim Schritt zur aktuellen Version 0.9.2 
haben die Entwickler einige Änderun- 
gen an der Benutzeroberfläche vorge- 
nommen. Denen fiel leider auch der 
„Streaming-Assistent“ zum Opfer, der 
Nutzer in wenigen, einfachen Schritten 
zum Erfolg führte. 

Wählt der Nutzer den Menüpunkt 
„Medien/Streaming“, muss er zunächst 
den zu sendenden Datenstrom auswäh- 
len. Das Programm kann Dateien, CDs 
und DVDs öffnen oder Live-Streams 
aus dem Netz empfangen und weiter- 
geben (Relais-Funktion). Die Windows- 
und Linux-Versionen erlauben es au- 
Rerdem, auf angeschlossene Geräte wie 
DVB-Empfänger oder Kameras zuzu- 
greifen. In welchem Format die Daten 
vorliegen, spielt dabei keine Rolle: Der 
VLC-Player führt alle notwendigen 
Konvertierungen automatisch durch. 


VideoLAN-Projekt: 


www.videolan.org 


RTP: A Transport Protocol for 

Real-Time Applications: 
tools.ietf.org/html/rfc3550 

Streaming-Software [Wikipedia]: 
en.wikipedia.org/wiki/List_of_streaming_ 
media_systems 


Anschließend kann man im Strea- 
ming-Dialog die Versandart wählen 
(siehe Abbildung). Für Video-Streaming 
eignet sich am besten das in RFC 3550 
definierte Real-Time Transport Protocol 
(RTP). Will der Nutzer nur einen Rech- 
ner beschicken, muss er dessen IP- 
Adresse eingeben. Sollen mehrere das 
hausgemachte Programm empfangen 
können, muss man eine Multicast- 
Adresse aus dem Bereich 225.0.0.0 bis 
238.255.255.255 eintragen — die Adress- 
bereiche 224.0.0.0/8 und 239.0.0.0/8 
sind überwiegend für Spezialanwendun- 
gen wie Routingprotokolle reserviert 
und damit für den Anwender tabu. 

Zudem ist es im Multicast-Betrieb 
unerlässlich, die Sendereichweite ein- 
zuschränken. Dazu dient der Time-To- 
Live-Parameter (TTL): Er bestimmt, 
wie viele Router die Datenpakete maxi- 
mal überspringen dürfen („hop count“). 
Generell sollte man den Wert so nie- 
drig wie möglich wählen. Der vorein- 
gestellte Wert / stellt sicher, dass der 
Medienstrom das lokale Netz nicht 
verlässt. 

Unter „Profil“ muss der Nutzer eins 
der vordefinierten Sendeformate einstel- 
len, etwa MPEG-2 oder H.264. Wählt 
er „Eigenes“, kann er das Containerfor- 
mat („Verkapselung‘“) und die verwen- 
deten Codecs und Formate für Audio, 
Video und Untertitel — sofern vorhan- 
den - separat bestimmen. 

Soll der VLC-Player als Empfänger 
dienen, muss der Zuschauer unter „Me- 
dien/Netzwerk öffnen“ lediglich das 
verwendete Protokoll - hier RTP - aus- 
wählen und die korrekte Adresse ein- 
stellen: seine eigene bei Unicast-Be- 
trieb, sonst die vom Server genutzte 
Multicast-Adresse. Kommt es bei der 
Wiedergabe zu Rucklern, empfiehlt es 
sich, das Kästchen „Mehr Optionen an- 
zeigen“ zu markieren und im erweiter- 
ten Dialog die Caching-Parameter zu 
variieren. 

Seine Vielseitigkeit und einfache Be- 
dienung machen den VLC-Player zum 
idealen Instrument fürs Ad-hoc-Strea- 
ming. Wer rund um die Uhr senden will, 
sollte sich jedoch nach einer anderen 
Lösung umsehen. Eine Liste geeigneter 
Software ist in der englischen Wiki- 
pedia-Ausgabe zu finden. (mr) 


DR. HORST EIDENBERGER 


ist außerordenilicher Professor an der 
TU Wien und zertifizierter Gutachter 
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UnixBenutzerinformationen ins Active Directory migrieren 


tz 5% 


| 


\ | ‚Sheep Hutel 
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Für einen endgültigen Abschied vom antiquierten NIS 
soll die komplette Benutzerverwaltung inklusive der 
POSIX-Attribute ins Active Directory wandern. Wer keine 
Überraschungen wünscht, sollte dabei aber ein paar 
Vorsichtsmaßnahmen treffen. 


eim Unternehmen für „Neue, in- 
B novative Service- und Applika- 

tionsdienstleistungen“ (NiS-AD) 
läuft ein Projekt, das die Benutzerver- 
waltung für Unix- und Windows-Rech- 
ner vereinheitlicht. Statt wie bisher für 
die Unix-Welt getrennte NIS-Maps zu 
pflegen, sollen sämtliche Rechner ih- 
re Nutzerinformationen künftig über 
ein zentrales Active Directory (AD) 
beziehen. In Phase eins des Projektes 
haben die Administratoren bereits die 
Systemanmeldung der Linux- und 
Unix-Rechner so modifiziert, dass sie 
nicht mehr NIS verwendet, sondern 
die Nutzer über das Kerberos-Proto- 
koll am Domänen-Controller (DC) au- 
thentifiziert [1]. Die verschlüsselten 
Passwörter aus der NIS-Map passwd 
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konnten sie damit eliminieren. Alle 
übrigen Informationen kommen je- 
doch nach wie vor aus NIS-Maps — 
ein Umstand, den die Administratoren 
nun in der zweiten Projektphase behe- 
ben wollen, bevor sie in Phase drei die 
Möglichkeiten des Single Sign-On 
über AD voll ausschöpfen. 

Zwei Ziele stehen ganz obenan für 
das AD-Migrationsprojekt bei NiS-AD: 
Zum einen soll Schluss sein mit dem 
Mehraufwand, den zwei parallele Nut- 
zerverwaltungen für Unix und Windows 
verursachen. Zum anderen haben die 
Auditoren einige prinzipielle Schwach- 
stellen im NIS ausgemacht, die nicht 
mehr den gestiegenen Sicherheitsanfor- 
derungen an das NiS-AD-Netz entspre- 
chen. Daher genügt es ihnen nicht, den 


Mark Pröhl, Michael Weiser 


a 


— 


in AD integrierten NIS-Serverdienst zu 
verwenden. Der würde zwar die Benut- 
zerverwaltung vereinheitlichen, die Si- 
cherheitsbedenken blieben jedoch beste- 
hen — wenngleich die Administratoren 
durch das Entfernen der verschlüsselten 
Passwörter die sensibelsten Daten be- 
reits aus den NIS-Maps getilgt haben. 
Konkret setzt das Funktionsprinzip von 
NIS ein vertrauenswürdiges Netz vor- 
aus. Andernfalls droht die Gefahr, dass 
ein Angreifer als Man-in-the-Middle 
den Datenstrom zum NIS-Server ab- 
fängt und unbemerkt verändert. Dazu 
muss er nur IP-Adressen oder DNS-Na- 
men manipulieren können. In manchen 
— durchaus gebräuchlichen — Konfigura- 
tionen genügt sogar ein Notebook am 
Firmennetz, das sich als NIS-Server aus- 
gibt und Clientrechner mit gefälschten 
Nutzerdaten füttert. Eine Option zur 
Schaffung eines derart vertrauenswürdi- 
gen Netzes wäre der flächendeckende 
Einsatz von IPSec im gesamten Unter- 
nehmen. Der Aufwand dafür ist jedoch 
ebenso hoch wie der Ressourcenhunger. 
Umso attraktiver erscheint die Alter- 
native: Statt das Netz zu sichern, tauscht 
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man NIS gegen einen anderen Verzeich- 
nisdienst, der geringere Anforderungen 
stellt. Das Lightweight Directory Access 
Protocol (LDAP) ist ein solcher Dienst, 
der als zentraler Bestandteil in AD inte- 
griert ist und auch für Unix flächende- 
ckend bereitsteht. Keine Frage daher, 
dass die Administratoren bei NiS-AD 
diesen Weg gehen und ihre NIS-Infra- 
struktur durch eine LDAP-AD-Anbin- 
dung ablösen. 


Abgleich der 


Detailinformationen 


Dazu muss AD in der Lage sein, alle 
bislang im NIS gespeicherten Nutzerin- 
formationen abzubilden. Das ist keines- 
wegs selbstverständlich, denn beide 
Verzeichnisdienste verwalten ihre Daten 
auf unterschiedliche Weise. NIS grup- 
piert Informationen in einzelnen Karten 
(Maps), deren Namen Rückschlüsse auf 
die Bedeutung der enthaltenen Informa- 
tionen zulassen. Ein einzelner Eintrag 
besteht aus einem Schlüsselwort und ei- 
nem dazugehörigen Wert. Wie er zu 
interpretieren ist, lässt NIS offen. Das ist 
allein Aufgabe der Applikation, die auf 
die Informationen zugreift. So besteht 
die NIS-Map passwd.byname beispiels- 
weise aus Einträgen, die dem Namen ei- 
nes Benutzerkontos eine Zeichenkette 
mit zusätzlichen Informationen zuord- 
net. Dass die Zeichenkette ein spezielles 
Format verwendet und durch Doppel- 
punkt getrennt in Felder für Passwort, 
User- und Gruppen-ID, Beschreibung, 
Home-Verzeichnis und Login-Shell auf- 
geteilt ist, braucht NIS nicht zu inte- 
ressieren. Das Auswerten der Einträge 
übernimmt jede Applikation selbst. 

AD ist anders strukturiert. Es verwal- 
tet seine Daten in einem Format, dessen 
Entwurf ursprünglich für den Verzeich- 


nisdienst X.500 entstand. Es gruppiert 
zusammengehörige Einträge zu Objek- 
ten, die selbst hierarchisch in eine 
Baumstruktur eingegliedert sind. Soge- 
nannte Schemadefinitionen legen fest, 
welche Einträge erlaubt sind, welchen 
Typ und welche Bedeutung sie besit- 
zen. Zwar lassen sich prinzipiell NIS- 
Map-Einträge direkt als Schlüssel- 
Wert-Paare in einzelne X.500-Objekte 
abbilden, doch dabei bleiben all die 
Vorteile auf der Strecke, die der typi- 
sierte, objektorientierte Aufbau im Ver- 
gleich zu NIS bietet. Verwendet man 
stattdessen für jeden Eintrag aus der 
passwd-Map ein eigenes Benutzerob- 
jekt mit separaten Attributen für User- 
ID, Home-Verzeichnis et cetera, benö- 
tigen einzelne Applikationen keinen 
eigenen Parser mehr. Darüber hinaus 
verhindert schon die Syntaxkontrolle 
des Servers, dass man beispielsweise 
für die numerischen User-ID fälschlich 
einen Namen einträgt. 

Ein AD-Nutzereintrag enthält somit 
eine lange Liste teils optionaler, teils er- 
forderlicher Attribute, die Windows be- 
nötigt. Jedem Nutzer ist beispielsweise 
ein Kontoname und ein SID (Security 
Identifier) zugeordnet. Es fehlen Attri- 
bute wie User- oder Gruppen-ID, die für 
ein Windows-System keinen Sinn erge- 
ben, unter Unix jedoch zwingend erfor- 


derlich sind. Um AD für die Verwaltung 
von Unix-Clients fit zu machen, muss 
ein Administrator deshalb zunächst eine 
sogenannte Schemaerweiterung einspie- 
len, sodass das Verzeichnis die Unix- 
spezifischen Attribute prinzipiell kennt. 
Eine Ausnahme bilden Windows Server 
ab 2003 R2, die per Default ein passen- 
des Schema fest integriert haben. In der 
grafischen Nutzerverwaltung tauchen 
die zugehörigen Attribute jedoch erst 
auf, sobald der Administrator das „Iden- 
tity Management for Unix‘ nachinstal- 
liert. Anschließend kann er die neuen 
Attribute für jeden Unix-Nutzereintrag 
tatsächlich mit Werten füllen. 


POSIX-Attribute 
gemäß RFC 2307 


Welche Attribute ein LDAP-Verzeich- 
nis zur Speicherung Unix-spezifischer 
Informationen bereitstellen muss, regelt 
RFC 2307 („An Approach for Using 
LDAP as a Network Information Ser- 
vice“, [d]). AD hält sich zwar nur zum 
Teil an diesen Standard, doch das ist 
von untergeordneter Bedeutung. In ers- 
ter Linie müssen sich LDAP-Client und 
-Server über das verwendete Format ei- 
nig sein. Für die Benutzerverwaltung 
von Unix-Rechnern heißt der Client in 


A-TRACT 


© Für den Umzug von Unix-Benutzerdaten in ein LDAP-Verzeichnis legt RFC 2307 fest, 
wie man die unterschiedlichen Attribute in Einklang bringen kann. 


© Über die SASL-Bibliothek und das AD:interne Kerberos lässt sich die Kommunikation 
zwischen Clients und Domänen-Controller komfortabel sichern. 


@ Eine erfolgreiche Migration der Daten bietet nicht nur eine zentrale User-Verwaltung, 
man kann auch das unter Sicherheitsaspekten bedenkliche NIS abschalten. 
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diesem Fall nss_ldap. Dabei handelt 
es sich um ein Modul für den Name 
Service Switch (NSS), ein flexibel er- 
weiterbares System zur Anbindung von 
Unix an verschiedene Namensdienste. 
Lediglich AIX tanzt etwas aus der Rei- 
he und verwendet statt NSS ein eigenes 
Modulsystem namens LAM, das sich 
jedoch auf ganz ähnliche Weise an AD 
anbinden lässt [c]. Beide Implemen- 
tierungen greifen per LDAP auf die 
X.500-Objekte im AD zu. Dazu akti- 
viert der Administrator das LDAP-Mo- 
dul in /etc/nsswitch.conf und legt in ei- 
ner weiteren Konfigurationsdatei fest, 
welche LDAP-Anfragen es an den Ser- 
ver stellen und wie es die Ergebnisse 
interpretieren soll. Je nach Distribution 
heißt die Konfigurationsdatei für das 
NSS-Modul /etc/ldap.conf oder /etc/ 
libnss-lIdap.conf. Sie ist nicht zu ver- 
wechseln mit der Datei /etc/openldap/ 
ldap.conf, die systemweite Voreinstel- 
lungen für die OpenLDAP-Kommando- 
zeilenprogramme und ähnliche Werk- 
zeuge enthält. 

Als Standard erwartet nss_ldap die 
sogenannten POSIX-Attribute für Be- 
nutzer- und Systemdaten wahlweise in 
einem durch RFC 2307 festgelegten 
Schema oder gemäß des Vorschlags 
RFC 2307bis mit geänderter Definition 
für Benutzergruppen. Wer ein Schema 
mit anderen Attributnamen verwendet, 
kann sie mit dem Kommando map in 
der Konfigurationsdatei des nss_ldap- 
Moduls auf die RFC-Namen abbilden. 
Ältere AD-Installationen verwenden 
zum Speichern der POSIX-Attribute 
häufig die Schemaerweiterung aus den 
Services for Unix 3.x (SfU). Hier sind 
einige Mappings nötig, bis Unix die 
Einträge auch verwenden kann. Seit 
Windows Server 2003 R2 liefert Micro- 


soft ein neues Schema für die POSIX- 
Attribute mit, das sich weitgehend mit 
RFC 2307 deckt. Schemaerweiterungen 
lassen sich allerdings nicht einfach 
rückgängig machen: Wer schon die 
SfU-Erweiterungen für die POSIX-At- 
tribute eingespielt hat, muss beim Um- 
stieg auf 2003 R2 an dieser Stelle mit 
Schwierigkeiten rechnen. Auch wenn 
der DC noch unter einer älteren Win- 
dows-Version läuft, sollte man deshalb 
bei einer nötigen Schemaerweiterung 
nicht mehr eines der SfU-Schemata, 
sondern die R2-Version verwenden. 


Nicht nur technische 
Aspekte zählen 


Nachdem das AD prinzipiell dafür ge- 
rüstet ist, alle benötigten Daten für 
Unix-Nutzer zu speichern, bleibt noch 
zu klären, wie die Daten letztendlich 
aus bestehenden NIS-Maps in den neu- 
en Verzeichnisdienst gelangen. Das gra- 
fische Verwaltungsprogramm „Active 
Directory Users and Computers“ ist 
prinzipiell ein möglicher Weg, POSIX- 
Attribute einzelner Benutzer manuell 
nachzutragen — sofern das Subsystem 
„Identity Management for Unix“ auf 
dem DC nachinstalliert ist. Muss man 
umfangreichere Datenbestände migrie- 
ren, ist Automatisierung Pflicht. Da AD 
eine standardkonforme LDAP-Schnitt- 
stelle zur Verfügung stellt, kann ein Ad- 
ministrator dazu auf herstellerunabhän- 
gige Werkzeuge zurückgreifen. Bestes 
Beispiel sind die PADL-Migrations- 
Tools [a], ein frei verfügbarer Satz von 
Perl-Skripten zur Übernahme von NIS- 
Daten in ein LDAP-Verzeichnis. Jedes 
Skript existiert in einer Online- und 
einer Offline-Variante. Die Offline- 


passwe-Feld RFC-2307-Attribut passende W2K3R2-Attribute Bemerkung 

username vid uid nicht als Kerberos-Principal bekannt 
s4MAccountName empfohlen 
userPrincipalName Name länger als acht Zeichen 

vid uidNumber vidNumber 

gid gidNumber gidNumber 

gecos gecos gecos nicht über Administrations-GUl verfügbar 
description empfohlen 
displayName 
name in Administrations-GUl: Full Name 
7) in Administrations-GUl: Full Name 

home 'homebirectory unixHomeDirectory 

shell JoginShell JoginShell 


Für die Umsetzung der Felder aus der NIS-Map passwd auf POSIX-Attribute im 
LDAP legt RFC 2307 eine eindeutige Zuordnung fest. Ein AD mit dem R2-Schema 
des Windows Server 2003 lässt dem Administrator an manchen Stellen etwas 


Wahlfreiheit. 
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Skripte sind speziell für OpenLDAP- 
Server konzipiert, die Online-Versio- 
nen funktionieren auch mit AD. Ad- 
ministratoren mit einem Hang zum 
Eigenbau können sich mit den Stan- 
dardkommandos /dapadd und Idapmo- 
dify eigene Migrationsskripte basteln. 

Wichtiger als die technischen Hür- 
den sind an dieser Stelle ohnehin häu- 
fig die organisatorischen Fragen: Soll 
jeder Benutzer aus dem NIS ins AD 
übernommen werden oder nutzt man 
die Migration zur Konsolidierung des 
Gesamtbestands an Nutzerdaten? Sollen 
sämtliche AD-Nutzerkonten POSIX- 
Attribute erhalten oder genügt es, wenn 
sich nur ein Teil der Benutzer auch an 
Unix-Rechnern einloggen kann? Und 
welche Verfahrensregeln sollen bei 
der Zusammenführung mehrerer NIS- 
Domänen bei doppelt vergebenen Be- 
nutzernamen gelten? Im Beispiel-Mi- 
grationsprojekt bei NiS-AD sind die 
Rahmenbedingungen übersichtlich: Da 
die Administratoren seit Abschluss der 
ersten Projektphase AD zur Authenti- 
sierung an den Unix-Maschinen nutzen, 
besitzt jeder Anwender schon ein Konto 
mit eindeutigem Benutzernamen. Daher 
genügt es hier, anhand der Informatio- 
nen aus den NIS-Maps lediglich die 
POSIX-Attribute nachzutragen. 

Bei der NiS-AD laufen die DC unter 
Windows Server 2003 R2 und verwen- 
den die mitgelieferte Schemaerweiterung 
für die POSIX-Attribute. Damit steht 
schon weitgehend fest, welches Feld aus 
der passwd-Map auf welches Attribut im 
AD abzubilden ist, die Tabelle „POSIX- 
Attribute“ verschafft einen Überblick. 
Wählen muss der Administrator bei den 
Attributen für den Benutzernamen und 
das Gecos-Feld. Standardmäßig pflegt 
AD bereits mehrere Attribute, die sich 
prinzipiell als Benutzername anbieten. 
RFC 2307 sieht dafür uid vor. Das 
gleichnamige AD-Attribut enthält je- 
doch einen Namen, der nicht als Kerbe- 
ros-Principal bekannt ist. Wer sich in 
der Kerberos-Client-Konfiguration ein 
zusätzliches Mapping von Benutzer- auf 
Principal-Namen sparen möchte, ist mit 
dem Attribut sAMAccountName besser 
bedient. userPrincipalName als Alterna- 
tive enthält zusätzlich den Realm-Anteil 
und überschreitet dadurch die Grenze 
von acht Zeichen für den Benutzer- 
namen. Manche kommerziellen Unixe 
haben damit Schwierigkeiten, und auch 
auf aktuellen Linux-Systemen entsteht 
zumindest Verwirrung, wenn manche 
Standardwerkzeuge statt überlanger Be- 
nutzernamen nur die numerische User- 
ID anzeigen. 
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Auch für das Gecos-Feld der passwd- 
Map kennt AD das in RFC 2307 emp- 
fohlene Attribut gecos - allerdings nur 
bei direkten Anfragen an den Verzeich- 
nisdienst. Das grafische Administra- 
tionswerkzeug „Active Directory Users 
and Computers“ zeigt das Feld nicht an. 
Besser eignet sich daher das Attribut 
description. Wer in der Gecos-Ausgabe 
lediglich den vollen Namen des Benut- 
zers anzeigen möchte, kann auch auf die 
Standardattribute displayName, name 
oder cn ausweichen. Die beiden letztge- 
nannten zeigt das Administrations-GUI 
im Feld Full Name an. Besonders ein- 
fach lässt sich das Passwort-Feld über- 
tragen: Seit Einführung der kerberisier- 
ten Systemanmeldung in Projektphase 
eins wird es überhaupt nicht mehr be- 
nutzt, man sollte es daher ignorieren. 


Sonderfall 
Gruppenzugehörigkeit 


Schwieriger ist die Entscheidung, auf 
welche Weise AD den Inhalt der NIS- 
Map group abbilden soll. RFC 2307 
sieht das Attribut memberUid vor. Es 
verwaltet für jede Unix-Gruppe eine 
Liste numerischer User-IDs ihrer Mit- 
glieder, analog zur bisherigen NIS-Map. 
Allerdings stellt die grafische AD-Be- 
nutzerverwaltung auch dieses Feld stan- 
dardmäßig nicht dar. Schlimmer noch: 
Da numerische User-IDs in der Win- 
dows-Welt keine Bedeutung besitzen, 
pflegt AD das Attribut nicht automa- 
tisch mit, wenn ein Administrator Grup- 
penmitgliedschaften verändert. Gleich- 
namige Gruppen können so unter 
Windows und Unix unterschiedliche 
Nutzergruppen umfassen. Systemüber- 
greifende einheitliche Benutzerverwal- 
tung sieht anders aus. Der Entwurf RFC 
2307bis sieht deshalb vor, die Unix- 
Gruppenmitgliedschaften im Attribut 
uniqueMember abzubilden. Statt einer 
Liste von Unix-Benutzernamen enthält 
es schlicht Verweise auf die jeweiligen 
Benutzerobjekte im Verzeichnisdienst 
und entspricht damit dem Standardfeld 
member, das im AD auch die Gruppen- 
zugehörigkeit für Windows-Systeme re- 
gelt. Falls alle Unix-Clients mit einem 
Gruppenschema nach RFC 2307bis um- 
gehen können, bietet es sich an, den be- 
quemen Weg zu wählen. 

Nachdem sich die Administratoren 
darauf geeinigt haben, welche AD-At- 
tribute sie für die Unix-Benutzerverwal- 
tung benutzen wollen, müssen sie diese 
für Suchanfragen optimieren. Für be- 
sonders häufig abgefragte Attribute wie 
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uidNumber sollte AD unbedingt einen 
Index anlegen. Sonst drohen erhebliche 
Performancenachteile. Die folgende Ta- 
belle zeigt, welche sich dafür anbieten: 


Attribut Index? 
GidNumber ja 

UidNumber ja 

Member ja 

LoginShell nicht zwingend 


UnixHomebDirectory nicht zwingend 


Umzug zunächst 
mit Haken 


Nach all den Vorarbeiten haben die 
Unix-Administratoren bei NiS-AD nun 
das nötige Rüstzeug beisammen, das 
einerseits Migrationsskripte anpasst, 
die die Nutzerdaten aus den NIS-Maps 
ins AD übertragen und andererseits auf 
allen Clients das Modul nss_ldap so 
konfiguriert, dass es die Benutzerinfor- 
mationen im AD erfragen und zurück 
in Unix-Sprache übersetzen kann. Lis- 
ting | zeigt eine minimale Version der 
Konfigurationsdatei /dap.conf für das 
NSS-Modul. 

Letzteres erwartet POSIX-Attribute 
unter den in RFC 2307 empfohlenen 
Namen. Über map-Anweisungen lassen 
sie sich auf Bezeichnungen abbilden, 
wie sie AD in Windows Server 2003 R2 
benutzt. Die Verwendung des ungülti- 
gen Attributs noSuchArtribute deakti- 
viert praktisch die unerwünschten Attri- 
bute memberUid und userPassword. 
Das vermeidet Verwirrung und Fehler 
durch ungewollte Abfragen. Zusätzlich 
zu den schon erwähnten Mappings für 
Attribute übersetzt das Modul die Na- 
men einzelner Objektklassen von RFC- 
Syntax in die passenden AD-Pendants. 
Die letzten beiden Zeilen der Beispiel- 
konfiguration sind vor allem in größeren 
Umgebungen von Bedeutung. 

Damit einzelne LDAP-Anfragen den 
DC nicht überlasten, liefert AD in den 
Voreinstellungen pro Anfrage maximal 
1000 Objekte zurück. Übersteigt die 
Zahl der eingetragenen Nutzer diese 
Grenze, zeigt beispielsweise das Kom- 
mando getent passwd unter Linux des- 


Tutorialinhalt 


Teill: Migration der Authentifizierung 

Teil Il: AD-Benutzerinformationen für 
unixoide Systeme 

Teil Ill: Linux-Dienste für SSO an AD 
anbinden und Erweiterung auf Active 
Directory Forest 


Listing 1: Konfiguration /ete/Idap.conf 


base de=nis-ad,de=de 

uri ldap: //nis-ad.de 

Ldap_version 3 

# Benutzerattribute 
nss_nap_attribute uid 
nss_nap_attribute homeDirectory 
nss_nap_attribute gecos 

# Gruppenattribut anhand RFC 2307bis 
nss_nap_attribute uniqueNMenber 
# unbenutzte Attribute aus RFÜ 2307 
nss_nap_attribute nenberlid noSuchAttribute 
nss_nap_attribute userPassword noSuchAttribute 

# verwende Standardklassen User und Group in Active Directory 
nss_nap_objectelass posixAccount User 

nss_nap_objectelass posixGroup Group 

nss_nap_objectelass shadowAccount User 

nss_nap_attribute objectllass objectlategory 

# stelle Mehrfachanfragen, falls ein Suchergebnis die serverseitige 
# Maximalgröße übersteigt 

pagesize 1 
nss_paged_results yes 


sAMAccountNane 
unixHomedirectory 
description 


Nenber 


halb nicht mehr die komplette Liste der 
Benutzerkonten an. Einzeln ist jedes der 
Konten jedoch sichtbar. Weitere Tücken 
drohen, wenn auch Gruppenmitglied- 
schaften die Tausender-Marke überstei- 
gen. Über die Optionen pagesize und 
nss_paged_results erkennt nss_ldap die 
unvollständigen Serverantworten und 
stellt selbstständig weitere Anfragen 
nach den noch fehlenden Informationen. 
getent passwd funktioniert dann auch in 
größeren Umgebungen ohne Überra- 
schungen. Bleibt ein Haken: Damit die 
minimale Konfiguration tatsächlich 
funktioniert, mussten die Administrato- 
ren bei NiS-AD die Voreinstellungen 
des DC so ändern, dass er anonyme Ab- 
fragen der POSIX-Attribute erlaubt. 
Das beeinträchtigt die Vertraulichkeit 
der gespeicherten Daten und bereitet 
den Administratoren deshalb so manche 
Bauchschmerzen. Diese Schwachstelle 
wollen sie deshalb schnellstmöglich 
wieder loswerden. 


NiS-AD sagt NIS ade 


Zuvor ist jedoch die Zeit gekommen, 
der Benutzerverwaltung im NIS end- 
gültig den Garaus zu machen. Die Ad- 
ministratoren passen dazu die Konfigu- 
rationsdatei /etc/nsswitch.conf an und 
ersetzen in den Zeilen für passwd und 
group den Eintrag nis durch /dap. Das 
Modul nss_ldap ist nun aktiv und greift 
auf die AD-Informationen zu. Wer so- 
fort testen möchte, ob die LDAP-An- 
fragen tatsächlich wie gewünscht funk- 
tionieren, sollten via nscd -i passwd 
und nscd -i group eventuell lokal 
zwischengespeicherte Informationen 
verwerfen. Als Test bietet sich die Prü- 
fung an, ob Standardkommandos wie 
id, groups, Is -l oder finger die erwarte- 
ten Nutzerdaten zurückliefern. 
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AD-Integration |l 


Das Ziel der einheitlichen Benutzer- 
verwaltung im gesamten NiS-AD-Netz 
haben die Administratoren damit er- 
reicht. In puncto Sicherheit haben sie 
durch die Umstellung auf LDAP statt 
NIS bislang jedoch kaum hinzugewon- 
nen: Wie erwähnt schickt in der aktuel- 
len Konfiguration jeder Clientrechner 
seine Anfragen anonym zum DC, die 
Antworten erhält er weder verschlüsselt 
noch digital signiert. Angreifer können 
sich nach wie vor durch gefälschte Ser- 
verantworten unberechtigten Zugang zu 
einem System verschaffen. Auch wenn 
das Belauschen des Netzverkehrs zwi- 
schen Client und DC seit der Umstel- 
lung auf Kerberos keine Passwörter 
mehr preisgibt, erlaubt es doch bei- 
spielsweise Rückschlüsse auf das Nut- 
zerverhalten. Außerdem wollen die Ad- 
ministratoren möglichst rasch ihre 
Bauchschmerzen vertreiben, indem sie 
den anonymen Zugriff auf die POSIX- 
Attribute wieder unterbinden. 

Heilung verspricht die SASL-Biblio- 
thek (Simple Authentication and Secu- 
rity Layer), mit deren Hilfe sich die 
LDAP-Verbindungen zwischen Client 
und DC per Kerberos schützen lassen. 
Dazu genügt es, auf jedem Unix-Client 
das Kerberos/GSSAPI-Modul für SASL 
nachzuinstallieren und in der Konfigu- 
rationsdatei der nss_ldap die SASL- 
Unterstützung zu aktivieren. Die passen- 
de Anweisung lautet schlicht use_sasl 
on. Das Kerberos-Protokoll gewährleis- 
tet automatisch Authentizität, Integrität 
und Vertraulichkeit der Kommunikation 
zwischen DC und Client — vorausge- 
setzt, das Modul nss_ldap kann für seine 
Anfragen auf ein gültiges Kerberos-Ti- 
cket zugreifen. In der aktuellen Umge- 
bung ist das bei NiS-AD automatisch 
der Fall, sobald gewöhnliche Benutzer 
sich kerberisiert am System anmelden. 
Schwierigkeiten treten auf, wenn ein 
Benutzer länger angemeldet bleibt als 
seine Tickets gültig sind. Darüber hin- 
aus verwenden root oder Systemdienste 


[a] PADL Migrationstools 
www.padl.com/OSS/MigrationTools.html 
[b] kstart 
www.eyrie.org/ eagle/software/kstart/ 
[e] LAM 
www.redbooks.ibm.com/redbooks/pdfs/ 
sg247165.pdf 
[d] RFC2307 
www.ietf.org/rfc/rfc2307 txt 
[e] XListing-Service 
fip.heise.de/pub/ix/ix_listings/ 
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lokale Benutzerkonten, denen normaler- 
weise kein Kerberos-Ticket zur Verfü- 
gung steht. Damit auch sie Nutzerdaten 
abfragen können, müssen die Adminis- 
tratoren doch noch ein wenig mehr Auf- 
wand treiben. 


Vom Umgang mit 
den Tickets 


Statt sämtliche Anwender im System 
stets mit gültigen Tickets zu versorgen, 
nutzen sie aus, dass die fundamentale 
Glibc-Bibliothek des Linux-Systems al- 
le Anfragen nach Nutzerdaten - sofern 
vorhanden — über den nscd-Daemon ka- 
nalisiert. Stellen die Administratoren si- 
cher, dass auf jedem Unix-Client ein 
nscd läuft und auf ein gültiges Ticket 
zugreifen kann, funktionieren die Abfra- 
gen von Benutzerinformationen auch 
ohne eigenes Kerberos-Ticket des auf- 
rufenden Prozesses. Zwei Dinge sind 
dazu notwendig: Zum einen ein Dae- 
mon oder Cronjob, der regelmäßig ein 
aktuelles Ticket für den nscd besorgt 
und in einem sogenannten Credential 
Cache ablegt. Zum anderen müssen die 
Administratoren die Lage des Credential 
Cache in die Konfigurationsdatei des 
Moduls nss_ldap eintragen. 

Für welchen Kerberos-Principal sie 
die Tickets anfordern, ist dabei nicht 
ausschlaggebend, solange im AD alle 
nötigen Zugriffsberechtigungen vor- 
handen sind. Da jeder Rechner über ein 
eigenes Maschinenkonto verfügt, bietet 
es sich an, den zugehörigen Principal 
auch für den nscd zu verwenden. Die 
nötigen Änderungen an der nss_ldap- 
Konfiguration in /etc/ldap.conf, die die 
Kommunikation mit dem DC über das 
Kerberos-Plug-in der SASL-Bibliothek 
absichern, sind kurz: 


use_sasl on 
krb5_ccname 


FILE:/var/cache/nscd/krb5cc 


Ein simpler Cronjob kümmert sich da- 
rum. dass der nscd immer auf ein aktuel- 
les Kerberos-Ticket zurückgreifen kann. 
Die Option -k bewirkt, dass kinit kein 
Passwort, sondern eine Keytab erwartet. 
Das Ticket stellt der DC auf das Maschi- 
nenkonto des jeweiligen Clientrechners 
aus. Der Eintrag des zugehörigen Princi- 
pals erfolgte in der ersten Projektstufe 
[1] beim Erzeugen der Host-Keytab mit 
ktutil. Die Gültigkeitsdauer der Tickets 
bestimmt die Frequenz des Cronjobs. 
#1/bin/sh 
PRINCIPAL=" hostname -s' 
kinit -K -c FILE: /var/cache/nscd/krböcc 7 
"$PRINCIPAL" 


Statt des Cronjobs ließe sich mit pas- 
sender Konfiguration beispielsweise 
auch das Hilfsprogramm kstart [b] ver- 
wenden. In jedem Fall funktionieren 
die Anfragen nun auch mit DCs, die — 
wie bei AD üblich — keine anonymen 
Abfragen erlauben. 


Zweiter Teilschritt 
abgeschlossen 


Damit haben die Administratoren bei 
NiS-AD das Ziel der Phase zwei ihres 
Migrationsprojektes erreicht. Die ge- 
samte Benutzerverwaltung für Win- 
dows- wie Unix-Rechner läuft zentral 
über das AD. Weder Passwort- noch 
Nutzerdaten lassen sich über das Netz 
ausspähen, und auch gegen gefälschte 
Serverantworten setzen sich die Clients 
inzwischen mit kryptografischen Me- 
thoden zur Wehr. Damit ist das Pflicht- 
programm abgearbeitet. In der im drit- 
ten und letzten Teil dieses Tutorials 
vorgestellten Phase drei des Projektes 
folgt die Kür: Die Administratoren 
wollen die Single-Sign-On-Fähigkeiten 
von AD ausnutzen. Einige weitere 
Unix-Netzdienste, die den Nutzer bis- 
lang noch nach einem eigenen Pass- 
wort fragen, binden sie so ins System 
ein, dass ein Kerberos-Ticket als Iden- 
titätsnachweis ausreicht. Ist auch Pha- 
se drei beendet, gehören lästige Pass- 
wortabfragen an Mail- oder Webserver 
der Vergangenheit an. Darüber hinaus 
erweitern die Administratoren die vor- 
gestellten Konzepte auf einen soge- 
nannten Active Directory Forest, der 
mehrere getrennte Domänen umfasst. 
(avr) 
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Variables Greylisting zur Spam-Abwehr 


)}] 


Ir 


— 
Bun | 


ru m 
er 


== 


Schwarz-Weiß- 
Mailerei 


Marcel Lohmann 


Greylisting gilt als probates Mittel gegen E-Mail-Spam. 

Die Verursacher treffen jedoch bereits Vorkehrungen dagegen. 
Darüber hinaus hat es konzeptbedingte Schwächen. Beidem 
können Mailserver-Betreiber durch ein erweiterbares, 
variables Greylisting begegnen. 


144 


er als Postmaster mit Massen 
von Spam zu kämpfen hat, 
zieht früher oder später den 


Einsatz von Greylisting in Betracht. Nur 
so kann man die Massen von Zustellver- 
suchen aus Bot-Netzen in den Griff be- 
kommen, da viele Quell-IP-Adressen 
nicht in Blacklists auftauchen. Es wäre 
auch nicht ratsam, alle dynamisch ver- 
gebenen IP-Adressen generell vom 
Mailversand auszuschließen und somit 
unter Generalverdacht zu stellen. 

Unter Mail-Administratoren gibt es 
berechtigte Bedenken gegenüber Grey- 
listing, da das Konzept einige Schwä- 
chen aufweist. Erst einmal steht jeder 
einliefernde Mailserver unter dem Ver- 
dacht, Spam abzuliefern und unterliegt 
dem Greylisting — auch legitime Mail- 
server von großen ISPs. Der größte 
Nachteil besteht aber darin, dass Grey- 
listing den Mailtransport bremst, da es 
den jeweils ersten Zustellversuch ver- 
hindert. Die Zeitspanne bis zum zwei- 
ten Zustellversuch legt allein der sen- 
dende Server fest, sie kann zwischen 
wenigen Sekunden und mehreren Stun- 
den liegen. Wie sich diese Schwächen 
auf ein Minimum reduzieren lassen, 
soll das Folgende erläutern. 

Das Whitepaper vom Greylisting- 
Erfinder Evan Harris definiert, dass ein 
Tripel aus IP des Senders, der Absen- 
deradresse und der Empfängeradresse 
bestimmte Phasen durchläuft [1]. Au- 
Berdem erläutert es drei unterschiedli- 
che Fristen, die sendende Mailserver 
einhalten müssen, damit sie eine Mail 
— definiert durch besagtes Tripel - zu- 
stellen können. Frühestens nach der 
Verzögerungszeit werden weitere Zu- 
stellversuche akzeptiert — bis zur Ver- 
fallszeit; danach scheitern erneute Zu- 
stellversuche. Erfolgt eine Einlieferung 
im Zeitraum dazwischen, passieren alle 
weiteren Mails, die das Tripel be- 
schreibt, den Mailserver. Auch die 
Tripel unterliegen einer dritten Frist — 
der Ablaufzeit. Erfolgt vor der Ablauf- 
zeit kein erneuter Zustellversuch, so 
gilt die Kommunikation als veraltet 
und die Datenbank verwirft das Tripel. 
Alle Fristen lassen sich durch weitere 
Zustellversuche aufschieben. 

Harris empfiehlt eine Stunde Verzö- 
gerungszeit, vier Stunden Verfallszeit 
und 36 Tage Ablaufzeit. Andere Quel- 
len empfehlen abweichende Zeiten, 
und Standard-Greylisting-Programme 
können die Fristen variabel halten. Doch 
welche Fristen sind richtig? Kann man 
die Verzögerungszeit auf fünf Minuten 
reduzieren, ohne Spammern - die sich 
allmählich auf Greylisting einstellen - 
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Tür und Tor zu öffnen? Sind 20 Minu- 
ten ein guter Mittelwert? Die Lösung 
liegt gerade in einer flexiblen Gestal- 
tung dieser Frist, denn das Optimum 
hängt von mehreren Faktoren ab, die 
sich nicht auf drei Zahlenwerte reduzie- 
ren lassen. 

Es muss also ein Greylisting-Algo- 
rithmus her, der die Fristen dynamisch 
berechnet und dazu die gegebenen Fak- 
toren berücksichtigt. Eine Implementie- 
rung in Java als Policy Service für 
Postfix soll im Folgenden als Beispiel 
dienen [2]. Das Installieren des JGrey- 
lister genannten Programms beschreibt 
die Anleitung im Installations-Paket. 
Die Konfiguration entspricht im Aus- 
lieferungszustand den Empfehlungen 
von Evan Harris, aber sie lassen sich 
variieren und an die jeweiligen Bedin- 
gungen anpassen. 


Eclipse macht's einfach 


Am einfachsten lassen sich Anpassun- 
gen mit Eclipse vornehmen. Dazu legt 
man ein neues Java-Projekt an und fügt 
zum Build-Path die externe Jar-Datei 
jgreylister.jar aus dem Installations- 
paket hinzu. Java-konform sollte man 
anschließend ein Package mit dem eige- 
nen Domain-Namen anlegen, beispiels- 
weise org.example.rules. Dorthin ge- 
hören alle weiteren Klassen, die die 
Regeln für das Greylisting bestimmen. 

Die erste Kategorie von Klassen legt 
die Verzögerungszeit fest, die ein Tupel 
auferlegt bekommt. Allgemein „Tupel“ 
deswegen, da zu den Werten des Tripels 
Informationen wie Hostname des Ab- 
senders, Domain-Anteil der Absender- 
adresse und die HELO/EHLO-Angabe 
zur weiteren Auswertung hinzukom- 
men. Der Programmcode aus Listing 1 
beschreibt eine Klasse HostNotGiven- 
Rule, die das Interface DelayRule imple- 
mentiert. Die Methode getDelayTime() 
dient zur Bestimmung der Verzöge- 
rungszeit bei der ersten Sichtung des 
Tupels. Das Tupel wird über das Objekt 


SMTPInformation an die Methode als 
Grundlage für die Berechnung über- 
geben. Neben der IP-Adresse, dem Ab- 
sender und dem Empfänger enthält die 
Klasse unter anderem den rückwärts 
aufgelösten Hostnamen und den HELO/ 
EHLO-String aus dem SMTP-Dialog. 
Falls in diesem Beispiel der Hostname 
nicht rückwärts auflösbar sein sollte 
(„unknown“), gilt eine Verzögerungs- 
zeit von zehn Minuten. In allen anderen 
Fällen gibt es keine Verzögerungszeit; 
ein zweiter Einlieferungsversuch wäre 
also sofort erlaubt. 

Weitere Bedingungen ließen sich in 
dieser Methode unterbringen, was un- 
weigerlich zu einem unübersichtlichen 
if-then-else-Konstrukt führen würde. 
Die schönere und wartbarere Variante 
ist allerdings, für jede Bedingung eine 
eigene Klasse zu schreiben und jede 
Bedingung in einer eigenen Methode 
getDelayTime() unterzubringen. Alle 
Klassen bilden eine Regelkette, die ge- 
meinsam eine Gesamtverzögerung er- 
gibt. Die Verzögerungszeit lässt sich 
durch eine Regel nicht nur verlängern, 
sondern auch verkürzen, indem die 
Methode einfach eine negative Anzahl 
von Minuten zurückgibt. So kann man 
etwa auch Mailserver belohnen, deren 
Hostnamen plausibel erscheinen, also 
zum Beispiel mit „mail“ oder „smtp“ 
beginnen (Listing 2). 

Das Interface DelayRule verlangt 
getDelayTimeWithHistory(), die zum 
Einsatz kommt, wenn das Tupel bereits 
aktenkundig ist (über die Klasse Mail- 
History). Die Historie umfasst die An- 
zahl der Sekunden seit der ersten Sich- 
tung, die Sekunden bis zum Erreichen 
der (beim letzten Mal errechneten) 
Verzögerungszeit und die Anzahl der 
bisherigen fehlgeschlagenen Einliefe- 
rungsversuche. Listings 1 und 2 igno- 
rieren die Historie geflissentlich, aber 
Listing 3 zeigt, wie sich wild geworde- 
ne Mailserver in die Schranken weisen 
lassen. 

Welche Java-Methoden welche Be- 
rechnungen anstellen, ist dem Program- 


in praktikablen Grenzen halten. 


A-TRACT 


© Greylisting gilt nach wie vor als probates Mittel zur Abwehr unerwünschter 
E-Mails, auch wenn die Spam-Versender bereits Gegenmaßnahmen ergreifen. 


© Mit einer abgestuften Strategie, die unter anderem eine Whitelist legitimer 
Absender umfasst, lassen sich die oftmals kritisierten Nebenwirkungen des Greylisting 


© Eine Umsetzung sinnvoller Greylisting-Policies für Postfix unter Java namens JGreylister 
steht auf dem iXListing-Service (ftp.ix.de] zur Verfügung. 
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Listing 1 
package con.example.rules; 


import de.malowa.greylister.MailHistory; 
import de.malona.greylister.SNTPInformation; 
import de.malona.rules.delay.DelayRule; 


public class HostNotGivenRule inplenents DelayRule { 


public int getDelayTime($SMTPInformation mail) { 
if (mail.getClientHost() .equals("unknoun")) 
return 10; 
return 0; 


public int getDelayTimehithHistory(SMTPInformation info, 
NailHistory history) { 
return getdelayTine(info); 


public void update() { 
II do nothing 
} 


Clients ohne Pointer Record (auch 
Reverse DNS genannt) erhalten eine 
Zeitstrafe. 


Listing 2 
package con.example.rules; 


import de.malowa.greylister.MailHistory; 
import de.malona.greylister.SMTPInformation; 
import de,malowa.rules.delay.DelayRule; 


public class PossibleMTARule inplements DelayRule { 


public int getDelayTime($SMTPInformation mail) { 
if (mail.getClientHost().startsWith("nail.") 
|| mail.gettlientHost() .startsWith("sntp.")) 
return -5; 
return 0; 


public int getDelayTimehithHistory(SMTPInformation info, 
NailHistory history) { 
return getdelayTine(info); 


public void update) { 
II do nothing 
} 


Clients mit für reguläre MTAs 
typischen Namen erhalten eine 
Belohnung. 


Listing 3 

package con.example.rules; 

import de.malowa.greylister.MailHistory; 

import de,.malona.greylister.SMTPInformation; 

import de.malona.rules.delay.DelayRule; 

public class AggressiveHostRule inplenents DelayRule { 


public int getDelayTime($SMTPInformation info) { 
return 0; 
} 


public int getDelayTimehithHistory(SMTPInformation info, 
NailHistory history) { 
if (history.getPassedSeconds() < 120 &8 
history.getBlockedmailcount() > 3) 
return 90; 
return 0; 


public void update) { 
II do nothing 


Ständig wiederkehrende Clients 
bekommen eine zusätzliche Zeitstrafe 
verpasst. 
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E-Mail 


mierer vollkommen freigestellt. So sind 
auch tageszeitabhängige, durch reguläre 
Ausdrücke definierte oder durch Pro- 
perties konfigurierbare Regeln denkbar. 
Letztere erfordern das regelmäßige Neu- 
einlesen der Properties. Die Methode 
update() des Interface ist genau dafür 
gedacht und soll in einer der nächsten 
Versionen diese Updates anstoßen. In 
Attributen der Klasse kann man die va- 
riablen Daten zwischenspeichern. Da 
die Regeln nur ein einziges Mal im Pro- 
gramm instanziiert sind und für jedes 
Tupel gelten, ist es also nicht ratsam, in 
einem Attribut der Klasse Informatio- 
nen abzulegen, die sich auf ein Tupel 
beziehen. 

Nun existiert eine Reihe von Regeln, 
die dem Programm bekannt sein müs- 
sen, damit es sie verwendet. Dazu ist es 
notwendig, die von Eclipse im Hinter- 
grund erzeugten Binärdaten aus dem 
bin-Ordner des Projekts in den ext- 


Listing 4 


delay = con.exanple.rules.HostNotGivenrule,\ 
com.example.rules.PossibleNTARule ‚\ 
com.example.rules.AggressiveHostRule 

cleanup = con.exanple.rules.ManyNumbersRule,\ 
con.example.rules.DynamiclPRule 

white = con.exanple.rules.AbuseRule, \ 
com.example.rules.AcceptMTARule 

pass = com.example. rules. InsanelailserverRule 

black = com.example.rules.BadCoconutRule 


In der Datei rules.properties 
eingetragene Regeln bilden 
zusammen mit Standardregeln ein 
komplexes Regelwerk. 


Listing 5 
package com.exanple.rules; 


import java.util.Calendar; 
import java.util.Ddate; 
import java.util.Gregorianlalendar; 


inport de,nalowa.greylister.MailHistory; 
inport de.malowa.greylister.SMTPInformation; 
import de,nalowa.rules.cleanup.CleanlpRule; 


public class ManyNumbersRule inplements CleanUpRule { 


public Date dateToRemoveNoRetry(SMTPInformation info, 
NailHistory history) { 
if Cinfo.getCLientHost() .matches(" C\\HEIDRIE,F")) € 
Gregorianlalendar cal = new Gregorianlalendar(); 
cal.add(Calendar.HOUR_OF_DAY, 1); 
return cal.getTine(); 


} 
return null; 


public Date dateToRemovePassedentry(SNTPInformation info, 
NailHistory history) { 
return null; 


Hosts mit vielen Ziffern melden sich 
selten ein weiteres Mal. Sie können 
schneller wieder aus der Datenbank 
entfallen. 
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Unterordner der jgreylister-Installation 
zu kopieren. Die Unterverzeichnisse 
sind unbedingt beizubehalten, also aus 
bin\org\example\rules\AggressiveHost 
Rule.class wird ext/org/example/rules/ 
AggressiveHostRule.class. Nach dem 
Kopieren ist die Datei conf/rules.pro- 
perties im Installationsverzeichnis an- 
zupassen; sie enthält dann die neuen 
Regeln (Listing 4 zeigt, wie man die 
drei bisher definierten Regeln zu der 
Standardregel hinzufügt). 


Wiederkehrende 


Aufräumarbeiten 


Mit jeder eintreffenden Mail wächst die 
Datenbank, was deren Performance be- 
einträchtigt. Viele Datensätze sind aber 
nach einiger Zeit obsolet, zum Beispiel 
die Tupel, deren Ablaufzeit oder Ver- 
fallszeit in der Vergangenheit liegt. Das 
Programm entfernt automatisch solche 
veralteten Einträge. 

Dazu muss es Regeln für die Be- 
stimmung der Ablaufzeit und der Ver- 
fallszeit geben, die sich dynamisch aus 
der SMTP-Information und der Histo- 
rie berechnen lassen. Anders als bei der 
Bestimmung der Verzögerungszeit 
können die Regeln aber nicht durch 
einfaches Summieren der Zeiten eine 
Ablaufzeit bestimmen. Wenn eine Re- 
gel greift, bestimmt sie allein die Ab- 
lauf- oder Verfallszeit. 

Das dafür vorgesehene Interface in 
Java lautet CleanupRule und man kann 
mit der Methode dateToRemoveNoRe- 
try() die Ablaufzeit bestimmen. Die 
Methode dateToRemovePassedEntry() 
bestimmt dagegen die Verfallszeit. 
Wenn die Aufräumregel keine Zeit be- 
stimmen kann oder will, muss die Me- 
thode NULL zurückliefern; in dem Fall 
gilt die nächste Regel. Erst wenn die 
Regelkette komplett durchlaufen und 
die Zeit immer noch unbestimmt ist, 
greift automatisch eine Standardregel, 
die die Ablaufzeit auf vier Stunden in 
die Zukunft und die Verfallszeit auf 36 
Tage in die Zukunft setzt. 

Auf diesem Wissen basiert nun eine 
Regel, die die Ablaufzeit reduziert, 
wenn im Hostnamen mindestens fünf 
Zahlen vorhanden sind. Listing 5 zeigt, 
wie man die Ablaufzeit auf eine Stunde 
in die Zukunft setzt und die Verfallszeit 
unberührt lässt. 

Nicht jeder nutzt die Smarthosts sei- 
nes Providers: Es gibt auch Clients, die 
legitime Mails direkt über den DSL- 
Anschluss versenden. Das können IP- 
Kameras sein, die regelmäßig ihren 


Status per Mail kundtun, oder normale 
Mailprogramme. Wenn diese das Grey- 
listing schaffen, ist es allerdings nicht 
notwendig, sie für 36 Tage in der Da- 
tenbank festzuhalten. Nach spätestens 
24 Stunden erfolgt eine Zwangstren- 
nung und die IP-Adressen in der Daten- 
bank repräsentieren ganz andere Hosts. 
Listing 6 zeigt, wie sich zumindest die- 
jenigen der großen deutschen DSL-Pro- 
vider nach 24 Stunden aus der Daten- 
bank tilgen lassen. 

Diese beiden Regeln sind nach dem 
Kompilieren in das entsprechende Ver- 
zeichnis unter ext/ zu kopieren. Die 
conflrules.properties muss so editiert 
werden, dass die neuen Regeln auch 
gelten. 


Ohne Weiß kein Grau 


Ein ordentliches Greylisting kommt na- 
türlich nicht ohne Fallunterscheidung 
aus. Generell steht prinzipbedingt zu- 
nächst jedes Tupel auf einer „Whitelist“, 
wenn es das Greylisting überwunden 
hat; jedenfalls so lange, bis der Daten- 
satz nach der Ablaufzeit aus der Daten- 
bank verschwindet. Außerdem gibt es 
Regeln, die greifen, bevor ein Tupel 
überhaupt das Greylisting durchläuft. 

Das dazugehörige Interface heißt 
WhitelistRule und erfordert das Imple- 
mentieren der Methode shouldBeWhite- 
listed(). Ein Anwendungsszenario wäre, 
alle Mails anzunehmen, die an „post- 
master“ oder „abuse“ gehen sollen, 
denn Spammer verwenden diese Emp- 
fänger relativ selten für ihre Werbe- 
botschaften. Das Listing 7 zeigt, wie 
man das Szenario umsetzen kann. Die 
erste Regel, die zutrifft, beendet die 
Abarbeitung der Regelkette von White- 
listRules. 

Außer der regelbasierten Whitelist 
gibt es eine (noch) nicht konfigurierbare 
interne Whitelist, die sich automatisch 
durch eintreffende E-Mails erweitert. 
Wenn fünf verschiedene Empfänger- 
Absender-Kombinationen zu einer IP- 
Adresse das Greylisting überwunden ha- 
ben, kommt sie auf die interne Whitelist. 
Jeglicher Mailverkehr von dort umgeht 
ab diesem Moment das Greylisting und 
wird automatisch akzeptiert. 

Da sich diese Whitelist in der inter- 
nen Datenbank befindet, lässt sie sich 
manuell füllen, etwa für nicht-RFC-kon- 
forme Mailserver. Die dafür notwendi- 
ge Tabelle lautet WAITEDOMAIN und 
die Spalte für die IP-Adresse 1 DO- 
MAIN. Als kleinen Bonus akzeptiert die 
Tabelle auch einen DOMAIN-Eintrag in 
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der Form 192.0.2, womit der Bereich 
192.0.2.0/24 gemeint ist. 

Statt nun alle größeren ISPs und 
Mailprovider in die Whitelist aufzuneh- 
men, kann man sich die Arbeit auch 
abnehmen lassen und die Whitelist von 
dnswl.org nutzen, die sich praktisch 
wie jede DNSBL abfragen lässt. Nur 
dass eine IP-Adresse auf der Liste 
steht, wenn sie für einen SMTP-Client 
akzeptabel erscheint und Mails von 
dort eben nicht abgelehnt werden soll- 
ten. Leider unterstützt Postfix diese 
umgekehrte Logik nicht von Haus aus 
und erfordert einige Umwege. Da 
JGreylister ohnehin in Postfix einge- 
bunden ist, kann die Abfrage der 
DNSWL auch aus dem Programm her- 
aus erfolgen. Sobald in der Datei conf/ 
jgreylister.properties der Parameter 
useDNSWL ‚‚true“ lautet, passieren al- 
le Mails von auf dnswl.org gelisteten 
IP-Adressen ungestört. 


Wer weiß sagt ... 


Wenn sich alle Clients an die bisher 
vorgegebenen Regeln halten würden, 


Listing 6 
package con.example.rules; 


import java.util.Calendar; 
import java.util.date; 
import java.util.Gregorianlalendar; 


import de.malowa.greylister.MailHistory; 
import de.malona.greylister.SNTPInformation; 
import de.malowa.rules.cleanup.CleanlpRule; 


public class DynamiclPRule inplenents Cleanlprule { 


Listing 7 
package com.exanple, rules; 


inport de.malowa.greylister.SMTPInformation; 
import de.nalowa.rules.white.WhitelistAule; 


public class AbuseRule implenents WhitelistRule { 


public boolean shouldBehhitelisted(SMTPInformation info) { 
if (info.getRecipient().startsWith("abusen") 
|| info.getRecipient().startsWith("postmasterd")) 
return true; 
return false; 


public Date dateToRemoveNoRetry 


return null; 


public Date dateToRemovePassedentry(SNTPInfornation info, 
NailHistory history) { 


info.getCLientHost().endsWith 
info.getCLientHost().endsWith 


info.getCLientHost().endsWith("alicedsl.de")) € 


cal.add(Calendar.DAY_OF_NONTH, 1); 
return cal.getTime(); 


return null; 


(SMTPInformation info, MailHistory history) { 


if Cinfo.getClientHost() .endsWith("dipl.t-ipconnect.de") 
("dip.t-dialin.net") 


("pools.arcor-ip.net") 


Gregoriantalendar cal = new Gregorianlalendar(); 


Freie Bahn für E-Mails an die 
wenig bespammten Postmaster- 
und Abuse-Accounts 


ergäbe sich ein angenehmes, sau- 
beres Greylisting. Doch es wäre 
zugleich nutzlos: Es funktioniert 
ja gerade deswegen, weil eben 
nicht alle Clients die Regeln ein- 
halten, vor allem nicht die von 
Spammern. Wie üblich birgt der 
Übergangsbereich die meisten 
Tücken: Viele legitime Clients 


Dynamisch vergebene IP-Adressen 
müssen sich nicht länger als einen Tag 
in der Datenbank befinden. Dann nutzt 
bereits ein anderer Computer oder 
Router dieselbe Adresse. 


stehen weder auf einer Whitelist 
noch halten sie sich hundertprozentig 
an die RFCs. Zu großzügige Whitelist- 
Regeln wären ein genereller Freifahrt- 
schein für Spam. Für genau diesen 
Zweck gibt es „Gnadenregeln“, die in 
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E-Mail 


Kraft treten, wenn ein Tupel bereits 
auf der Greylist steht und ein zweiter 
(oder weiterer) Zustellversuch stattfin- 
det. In dem Fall kann man sich ent- 
scheiden, ob man diesen Zustellversuch 
zum Anlass nimmt, die Mail passieren 
zu lassen. 

Das zu implementierende Interface 
PassRule setzt die Methode shouldBe 
Whitelisted() voraus. Listing 8 zeigt, 
wie man wahrscheinliche Mailserver 
akzeptiert, noch bevor die Verzöge- 
rungszeit abgelaufen ist. Wenn Spam- 
mer ihren Hostnamen mit „mail“ oder 
Ähnlichem beginnen lassen, müssen 
sie also mindestens einen zweiten Zu- 
stellversuch starten, damit Mails von 
dort unverzüglich durchkommen. Spam- 
mer tun das in der Regel nicht, legiti- 
me Server profitieren dagegen von 
dieser „Begnadigung“. 

Ein weiteres Szenario für diese 
Sonderregel ist das Akzeptieren „wild- 
gewordener“ Mailserver. Ab und zu 


Listing 8 
package com.exanple.rules; 


import de.nalowa.greylister.MailHistory; 
inport de.malowa.greylister.SMTPInformation; 
import de.malowa.rules.pass.PassRule; 


public class AcceptMTARule inplements PassRule { 


public boolean shouldBehhitelisted 

(SMTPInformation info, MailHistory history) { 

if (history.getBlockednailcount() > 0) 

if Cinfo.getClientHost().startsWith("nail") 

|| info.getCLientHost(), 
startsWith("sntp") 

|| info.getClientHost(), 
startsWith("no-p") 

|| info.gettLientHost(). 
natches"mx(\\d)#\\..*")) 

return true; 
return false; 


Wenn sie einen zweiten Versuch 
starten, werden offensichtlich 
legitime MTAs durchgewinkt. 


Listing 9 
package com.exanple.rules; 


inport de,malowa.greylister.SMTPInformation; 
import de.malowa.rules.black.BlacklistRule; 


public class BadCoconutRule implements BlacklistRule { 


public boolean shouldBeBlacklisted(SMTPInformation info) { 
if (info.getHelo().equals("mail.onlinenail.cc") 
|| info.getHelo() .equals("mail.fivenail.cc") 
|| info.getHelo() .equals("nail.mailvien.cc") 
|| info.getHelo() .equals("mail.spacemails.cc") 
l ("nai 
l ("nai 


|| info.getHelo() .equals „fishmail.cc") 

|| info.getHelo() .equals ‚nedianail.cc")) 
return true; 

return false; 


} 


Penetrant spammende Server stoßen 
auf eine harte Abweisung. 
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kommt es vor, dass solche Server alle 
30 Sekunden einen Zustellversuch un- 
ternehmen. Dabei ergibt sich natürlich 
eine immer wieder neu berechnete Ver- 
zögerungszeit, die in der Zukunft en- 
det. Wenn man Pech hat, endet die 
Verzögerungszeit nie. In dem Fall ist 
eine Regel denkbar, die nach 30 Minu- 
ten und mindestens sechs Zustellver- 
suchen die Mail akzeptiert. 


... muss auch 
schwarz sagen 


Regeln, die ausschließlich Mails ak- 
zeptieren, reichen nicht immer für ein 
komplettes Regelwerk. So gibt es 
nämlich auch immer wieder Spammer, 
die das Greylisting passieren, weil ihre 
Systeme sich wie „echte“ Mailserver 
verhalten. Immer wieder tauchen me- 
lanie@example.org und Kolleginnen 
auf, die von verschiedenen IP-Adres- 
sen aus die gleichen Nachrichten ein- 
liefern wollen. Glücklicherweise mel- 
den sie sich immer mit dem gleichen 
HELO-Eintrag, was das Ausfiltern 
recht einfach macht. Wie man solche 
Absender am geschicktesten aussperrt, 
zeigt Listing 9. 

Dieser letzte Ausweg sollte mög- 
lichst sparsam dosiert sein, denn alle 
Zustellversuche führen zu einem har- 
ten 5xx-Fehler mit entsprechendem 
Hinweis. Eine so abweisende Behand- 
lung haben ausschließlich Spammer 
verdient. 

Mit ein wenig Analyse des eigenen 
Mailverkehrs lassen sich die möglichen 
Regeln zu einem wirksamen Greylis- 
ting-Bollwerk kombinieren. Spammer 
können es kaum überwinden, während 
legitimen Mailservern viel Freiraum bei 
der Mailzustellung bleibt. Damit die Ge- 
fahr von False Positives in Maßen 
bleibt, empfiehlt es sich, einen Mailklas- 
sifizierer wie amavisd zuzuschalten und 
lieber ein paar mehr Mails anzunehmen 
als eine zu viel abzulehnen. 


Fazit 


In der beschriebenen Konstellation 
läuft die Beispielimplementierung auf 
mehreren produktiven Systemen, mit 
einem an die dortige Situation angepas- 
sten und bei Bedarf erweiterten Funk- 
tionsumfang. Die genannten Regeln 
dienen im Artikel der Veranschauli- 
chung und als Basis für eigene Ideen. 
In der konkreten Umsetzung erfahren 
grob zusammengefasst typische Kenn- 


zeichen von MTAs und Hostnamen in 
.de, .at und .ch eine Bevorzugung, wäh- 
rend dynamisch vergebene IP-Adressen 
und Hostnamen aus Spammer-freund- 
lichen Gegenden als Negativkriterien 
gelten. 

Die Einführung des Greylisting-Ver- 
fahrens hat das Spam-Aufkommen auf 
dem Hauptsystem gewaltig reduziert 
und zu sehr positiven Reaktionen der 
Anwender geführt. Zwischen 7000 und 
10 000 Mails landen täglich nicht in 
irgendwelchen Spam-Ordnern, weil der 
Mailserver sie gar nicht erst annimmt. 
Es stehen immer zwischen 190 und 250 
Einträge auf der Greylist, und so müs- 
sen nur etwa fünf Mails am Tag das 
Greylisting neu passieren, da die IP- 
Adressen der Absender vorher nicht in 
Erscheinung getreten sind. Nur bei die- 
sen ist die oft verschriene verzögerte 
Zustellung zu verzeichnen. Die Warte- 
zeit liegt bei durchschnittlich 20 Minu- 
ten und ist eher vom Verhalten des Ab- 
sender-Mailservers abhängig als von 
der auferlegten Verzögerungszeit. 

Alle anderen monatlich 1900 legiti- 
men Mails werden durch die White- 
lists akzeptiert, von denen der nachge- 
schaltete Amavis allerdings 150 als 
Spam markiert. Nur sind 150 Spams 
deutlich weniger als die ungefähr 
230 000, die Amavis mit Spamassas- 
sin sonst zu bewältigen hätte, was eine 
Menge Rechenzeit einspart. Auf jeden 
Fall spart es die langwierige Suche 
nach False Positives in einer solchen 
Masse von Mails. 

Durch stichprobenartige Analysen 
der Log-Dateien und Hinweise von 
Kunden gibt es eine Rate von etwa ei- 
nem False Positive pro Monat. Diese 
ergeben sich ausschließlich durch Ser- 
ver, die nie einen zweiten Zustellver- 
such nach einem 4xx-Fehler versuchen. 
Bis jetzt waren alle Mail-Administrato- 
ren dankbar, auf diese Weise überhaupt 
vom nicht standardkonformen Verhal- 
ten ihres Systems zu erfahren. (un) 


MARCEL LOHMANN 


ist Softwareentwickler bei der Gesell- 
schaft für Informatik und Datenverarbei- 
tungstechnologie mbH in Hannover. 


Literatur 


[1] Evan Harris; Greylisting; 
projects.puremagic.com/greylisting/ 
whitepaper.html 

[2] iX-Listing-Service; ftp.ix.de/pub/ 
ix/ix_listings/2008/11 


iX 11/2008 


© Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. 


© Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. 


Java-Programmierung 


Assistenten bauen in Java: Die Wizard API 


Zauberhafte 


Dialoge 


Thomas Künneth 


In Betriebssystemen und 


Anwendungen leiten den Benutzer oft 


Wizards oder Assistenten durch Folgen von Dialogen. 
Auch Swing-Entwicklern steht dafür eine Open-Source- 


Klassenbibliothek zur Verfügung. 


ssistenten (Wizards) erfragen 
AR: Benutzer in mehreren auf- 

einander folgenden Dialogschrit- 
ten Informationen, um eine bestimmte 
Aktion ausführen zu können. Beispiels- 
weise muss eine E-Mail-Anwendung 
vor dem Anlegen eines neuen Kontos 
seine Kennung und sein Passwort sowie 
die E-Mail-Adresse und den Serverna- 
men ermitteln. Installations- oder Setup- 
Programme benötigen vor dem Kopie- 


Listing 1: 
Auszug aus Zusammenfassung.java 


adverride 
public WizardPanelNavResult allowBack(String stepName, 
Nap settings, 
Wizard wizard) { 
settings. remove(InstallationsartPanel.RB_ALLES); 
settings. remove(InstallationsartPanel.RB_AUSWAHL); 
return WizardPanelNavResult.PROCEED; 
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ren den Pfad des Zielverzeichnisses 
sowie Installationsart beziehungsweise 
-umfang. Außerdem können Anwender 
oft festlegen, ob Symbole auf dem 
Desktop erscheinen sollen. 

Wizards kommen auf allen aktuellen 
Plattformen vor. Zwar unterscheiden 
sich die einzelnen Implementierungen 
im Detail, doch sind bestimmte Merk- 
male praktisch immer vorhanden. Das 
wahrscheinlich wichtigste ist (auch 
wenn es auf den ersten Blick trivial 
wirkt) die Navigierbarkeit zwischen Dia- 
logschritten mit „Zurück“ und „Weiter“, 
verbunden mit der Möglichkeit, den As- 
sistenten vorzeitig abzubrechen. Damit 
dies klappt, sollte das Durchlaufen sei- 
ner Seiten keine unwiderruflichen Ak- 
tionen auslösen. Die eigentliche Arbeit 
findet in der Regel erst statt, wenn der 
Anwender auf „Fertig(stellen)“ klickt. 
Außerdem zeichnet Assistenten aus, 
dass ihre Seitenabfolge zum Zeitpunkt 


des Aufrufs nicht vollständig festgelegt 
sein muss. Sie kann abhängig von Be- 
nutzereingaben variieren. Beispielsweise 
muss ein Installationsprogramm nur eine 
Modul- oder Paketauswahl anzeigen, 
wenn der Anwender nicht die Standard- 
installation gewählt hat. Ein solcher Dia- 
logfluss lässt sich nur mit baumartigen 
Strukturen abbilden. Schließlich hilft oft 
eine Übersicht über absolvierte und ge- 
gebenenfalls noch folgende Schritte dem 
Benutzer, während der Arbeit mit dem 
Assistenten den Überblick zu behalten. 
Auf wizard.dev.java.net steht Swing- 
Entwicklern eine Klassenbibliothek zur 
Verfügung, die das Erstellen und Anzei- 
von Assistenten vereinfachen möch- 
r der Common Development 
\ ion License veröffentlichte 
ich als Ersatz für 


; Omepage zum Her- 
reitsteht. Dort liegt auch 
vadoc-Dokumentation in Form des 
E ehivs WizardAPI zip. Die Quelltexte 
lassen sich gegebenenfalls aus dem zum 
Projekt gehörenden CVS-Repository 
auschecken. 


Von einem Dialog 
zum nächsten 


Assistenten definiert die Wizard API als 
eine Folge von Dialogschritten, die Ein- 
stellungen oder Eingaben des Benutzers 
entgegennehmen und als Schlüssel- 
Wert-Paare in einem Objekt des Typs 
Java.util.Map speichern. Nachdem der 
Anwender „Fertig“ angeklickt hat, 
übergibt der Wizard diese Map an eine 
finish()-Methode. Sie erzeugt ein (im 
Prinzip beliebiges) Objekt, das die 
Einstellungen widerspiegelt, und führt 
die eigentliche Arbeit aus. Dies kann 
auf Wunsch in einem eigenständigen 
Thread, also im Hintergrund, gesche- 
hen. Neben fest vorgegebenen Panel- 
Abfolgen sind Verzweigungen vorgese- 
hen, sodass ein Assistent dynamisch auf 
Benutzereingaben reagieren kann. Da 
sich Eingaben prüfen lassen, ist es bei- 
spielsweise möglich, Seitenwechsel zu 
unterbinden, bis der Anwender ein be- 
stimmtes Feld ausgefüllt oder ein Ele- 
ment angewählt hat. 

Dialogschritte können Entwickler 
auf zwei Arten bauen. Am einfachsten 
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‘ Lizenzbedingungen = | 


Bitte lesen und akzeptieren Sie die folgenden Lizenzbedingungen: 


[Dies sind die Lizenzbedingungen für das Produkt VaporOffice XTi u une su: ] 


m Ich stimme den Lizenzbedingungen zu, 


Bitte stimmen Sie den Bedingungen zu oder klicken auf Abbrechen. 


Mit der Wizard API lassen sich einfache Assistenten wie dieser Installations- 


helfer erstellen. 


ist es, von der Klasse org.netbeans.spi. 
wizard.WizardPage abzuleiten. Ein 
solches Panel vereinfacht das Über- 
nehmen von Benutzereingaben in die 
angesprochene Map. Denn für Stan- 
dardkomponenten wie JCheckBox oder 
JTextField genügt es, sie einer Wi- 
zardPage hinzuzufügen und die Me- 
thode setName() der Komponente auf- 
zurufen. Dies könnte folgendermaßen 
aussehen: 


WizardPage seite = 

new WizardPagel["schritt-1", "Der erste Schritt"); 
JTextField eingabe = new JTextField(20); 
eingabe.setName("eingabe"); 
seite.addleingabe); 


Eingegebenen Text übernimmt der Wi- 
zard automatisch unter dem Schlüssel 
eingabe in die Map. Damit das klappt, 
muss der Aufruf von setName() erfol- 
gen, bevor die Komponente der Wizard- 
Page hinzugefügt wird. Komponenten 
müssen übrigens keine unmittelbaren 
Kinder der WizardPage sein, sondern 
dürfen sich auch in verschachtelten 
Containern befinden. 


Wizards erzeugen 
und anzeigen 


Einen Assistenten, der aus dieser Seite 
besteht, erzeugt die folgende Anweisung: 


Wizard wizard = WizardPage.createWizard| 
new WizardPage |] (seite}]; 


WizardDisplayer.showWizard() zeigt 
den Assistenten an. Mit einem einfa- 
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chen Cast liefert dieselbe Methode die 
vom Benutzer eingegebenen Werte: 
Map ergebnis = 

(Map) WizardDisplayer.showWizard(wizard); 
System.out.printIn(ergebnis]; 


WizardPage enthält zahlreiche Metho- 
den. Das Verhalten des Dialogschritts 
lässt sich beeinflussen, indem man sie 
überschreibt. Beispielsweise ruft der 
Wizard für Benutzereingaben valida- 
teContents() auf. Dessen Rückgabe- 
wert steuert, ob der Assistent auf die 
Folgeseite wechseln darf oder ob er 
den Benutzer auf ein bestehendes Pro- 
blem hinweist. Auch die Methoden al- 
lowNext() und allowFinish() beein- 
flussen mit ihren Rückgabeparametern 
die Navigierbarkeit innerhalb eines 
Assistenten. 

InstallerDemo (siehe Abbildung 
oben) simuliert ein Installationspro- 
gramm für die fiktive Bürosoftware 
Vapor Office XT. Seine vollständigen 
Quelltexte liegen auf dem iX-Listing- 
server (siehe iX-Link). Die Klassen 
Zusammenfassung und Paketauswahl 
der Anwendung zeigen das Überschrei- 
ben der angesprochenen Methoden. 
Das Beispiel in Listing 1 entfernt vor 
dem Zurückspringen auf die vorherige 
Seite des Assistenten zwei Elemente aus 
der Map, die die Benutzereingaben spei- 
chert. Weitere Klassen dieser Anwen- 
dung demonstrieren das zweite Vorge- 
hen beim Erzeugen von Dialogschritten 
(siehe Listing 2): Die Klasse Startsei- 
tePanelProvider leitet von org.net 
beans.spi.wizard.WizardPanel Provider 
ab. Ihre Methode createPanel() ordnet 
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Java-Programmierung 


Listing 2: Auszug aus 
StarfseitePanelProvider.java 


adverride 
protected JComponent createPanel(Wizardtontroller 
controller, String id, 
Nap settings) { 
if (StartseitePanel.STEP_ID.equalstid)) { 
return new Startseitepanel(); 
} else if (LizenzbedingungenPanel.STEP_ID.equals(id)) { 
return new LizenzbedingungenPanel (controller); 
} else if (ZielverzeichnisPanel.STEP_ID.equals(id)) € 
return new ZielverzeichnisPanel(controller); 
} else if (InstallationsartPanel.STEP_ID.equals(id)) { 
return new InstallationsartPanel(settings); 
} 
return null; 
} 


Listing 3: Auszug aus 
InstallerDemoBranchController.java 


adverride 
protected Wizard getWizardForStep(String step, Map settings) { 
if (InstallationsartPanel.STEP_ID.equals(step)) { 
if (Boolean. TRUE.equals(settings 
„get(InstallationsartPanel.RB_AUSWAHL))) { 
return ZWEIG_PAKETAUSWAHL; 
} else if (Boolean. FALSE.equals(settings 
„get(InstallationsartPanel.RB_AUSWAHL))) { 
return ZWEIG_ZUSANMENFASSUNG; 
} 
} 
return null; 
} 


Listing 4: Auszug aus 
InstallerDemoDeferredWizardResuli.java 


adverride 
public void start(Nap settings, final ResultProgressHandle progress) { 
try { 
progress. setProgress("Dateien kopieren", 0, 3); 
warten(); 
progress. setProgress("Leistung optinieren", 1, 3); 
warten(); 
progress. setProgress("Installation abschließen", 2, 3); 
warten(); 
progress. finished(getSunmary(settings)); 
} catch (Throwable thr) { 
progress. failed(thr.getliessage(), false); 
} 
} 


Listing 5: Auszug aus 
InstallerDemoDeferredWizardResuli.java 


private Sunnary get$unmary(Map settings) { 
StringBuilder sb = new StringBuilder(); 
sb.append("Die Installation ist abgeschlossen.\n"); 
if (settings != null) { 
Set set = settings.keySet(); 
Iterator iter = set.iterator(); 
while Citer.hashext()) { 
String key = (String) iter.next(); 
sb.append(key + " =" + settings.get(key) + "\n"); 
} 
} 
return Sunnary.create(sb.toString(), settings); 
} 
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durch eine eindeutige Kennung iden- 
tifizierbaren Dialogschritten eine Kom- 
ponente zu, die den Schritt repräsentiert. 

Welche Dialogschritte einem Wi- 
zardPanelProvider zugeordnet sind, 
legt sein Konstruktor fest. Für Start- 
seitePanelProvider sieht dies folgen- 
dermaßen aus: 


public StartseitePanelProvider|) { 

super["Installer-Demo", new String[] { 
StartseitePanel.STEP_ID, 
LizenzbedingungenPanel.STEP_ID, 
ZielverzeichnisPanel.STEP_ID, 
InstallationsartPanel.STEP_ID }, 

new String[] { 

StartseitePanel.DESCRIPTION, 
LizenzbedingungenPanel.DESCRIPTION, 
ZielverzeichnisPanel.DESCRIPTION, 
InstallationsartPanel.DESCRIPTION }}]; 


Auch WizardPanelProvider definieren 
also vorgegebene Abfolgen von Dia- 
logschritten. Bei einem Installations- 
programm ergibt sich aber unter Um- 
ständen die Notwendigkeit, Seiten zu 
überspringen. Beispielsweise sollte ei- 
ne Paketauswahl nur erscheinen, wenn 
sich der Anwender für eine individuelle 
Auswahl der zu installierenden Funk- 
tionen entschieden hat. 


Zwischen Ästen 
navigieren 


Die Wizard API realisiert Verzweigun- 
gen mit der Klasse org.netbeans.spi. 
wizard.WizardBranchController. Ihre 
Methode gerWizardForStep() entschei- 
det anhand der gerade angezeigten Sei- 
te sowie der bisherigen Benutzerein- 
gaben, welche Instanz der Klasse org. 
netbeans.spi.wizard.Wizard als Nächs- 
tes auszuführen ist. Verzweigungen ba- 
sieren also darauf, Dialogschritte zu 
Teilassistenten zusammenzufassen und 
diese zu verschachteln. 

In Listing 3 prüft der Code, ob der 
aktuelle Dialogschritt der Seite Installa- 
tionsart entspricht. In diesem Fall wählt 
der Wizard auf Basis der Benutzerein- 
gaben den Teilassistenten ZWEIG_PA 
KETAUSWAHL. Er wurde auf die be- 
kannte Weise erzeugt: 


private static final Wizard 
ZWEIG_PAKETAUSWAHL = WizardPage 
.createWizard(new Class|] { 
Paketauswahl.class, 
Zusammenfassung.class }, 


ERGEBNIS); 


ERGEBNIS referenziert eine Instanz 
der Klasse /InstallerDemoResultProdu- 
cer. Sie implementiert das Interface 


org.netbeans.spi.wizard.WizardPage. 
WizardResultProducer. Ihre beiden Me- 
thoden finish() und cancel() aktiviert das 
Anklicken von „Fertig“ beziehungswei- 
se „Abbrechen“. Innerhalb von finish() 
kann man aus den Werten der Map 
mit den Benutzereingaben ein Objekt 
erzeugen, das der Aufrufer des Assis- 
tenten als Rückgabeparameter erhält: 


public Object finish[Map wizardData] 
throws WizardException { 
return new InstallerDemoDeferredWizard/ 
Result(); 
} 


Eine besondere Form eines solchen 
Objekts bilden Instanzen der Klasse 
DeferredWizardResult. Sie ermöglichen 
das Ausführen länger laufender Tätig- 
keiten im Hintergrund. Solange sie an- 
dauern, zeigt der Assistent einen Fort- 
schrittsbalken an (s. Listing 4). Die 
Hauptarbeit findet in der Methode 
start() statt. 

Durch Aufrufen der Methode set- 
Progress() erfährt der Anwender den 
Status der länger dauernden Tätigkei- 
ten. Sind sie erfolgreich abgeschlossen, 
muss wie üblich ein Rückgabeobjekt 
erzeugt und an die Methode finish() 
übergeben werden. 

Ist dieses übergebene Objekt eine 
Instanz des Typs org.netbeans.spi.wi 
zard.Summary, stellt die Wizard API ei- 
ne Seite dar, die das Ergebnis des Assis- 
tenten zusammenfasst (Listing 5). Die 
Klasse Summary stellt drei Factory- 
Methoden zum einfachen Erstellen von 
Zusammenfassungen zur Verfügung. 


Fazit 


Die Wizard API ist eine mächtige Klas- 
senbibliothek, die das Erstellen selbst 
komplexer Assistenten stark vereinfacht. 
Die Einflussmöglichkeiten auf die Navi- 
gation sind umfassend. Länger andau- 
ernde Tätigkeiten, auch beim Wechsel 
zwischen Seiten, können Hintergrund- 
prozesse übernehmen. Insgesamt ist die 
Nutzung der Bibliothek wärmstens zu 
empfehlen. (ck) 
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Internet-Infos 


Comics als Abbild des Alltagslebens 
Täglicher 
Wahnsinn 


Diane Sieger 


Nicht nur Drogen machen süchtig. Für manche sind es 
Computerspiele, andere können nicht von Sudoku oder vom 
Comic-Lesen lassen. Letztere profitieren von den täglich 
wechselnden Veröffentlichungen im Web. 


iel hat sich in den letzten 15 Jah- 
V- im World Wide Web getan, 

seit das CERN die WWW-Tech- 
nik in die Public Domain gegeben hat. 
Während es im Juni 1993 ganze 130 
Webserver weltweit gab, hat heute je- 
der, der was auf sich hält, seine eigene 
Homepage. Da wundert es nicht, dass 
Google mittlerweile rund 29 400 Tref- 
fer für „Gerhard Seyfried“, liefert, den 
von Torsten Beyer vor neun Jahren in 
seinem Beitrag „Zapf, Ding, Bats ...“ 
(www.heise.de/ix/artikel/1999/09/142) 
noch schmerzlich vermissten Autor von 
Anarcho-Comics. 

Gleich an zweiter Stelle taucht Sey- 
frieds Hompage auf (www .seyfried- 
berlin.de). Neben Hinweisen auf eige- 
ne Neuveröffentlichungen gibt es hier 
zum Beispiel Comic-Kostproben unter 
dem Menüpunkt „Cannabis Cartoons“, 
und unter „zeichenblog“ (in der linken 
Spalte ganz oben) erfährt man unter an- 
derem die Wahrheit über den aktuellen 
Zustand des Turms von Pisa (wegen 
laufender Neueinträge eventuell dort 
unter „ältere Einträge“ nachsehen). 

Etwas anders steht es um Beyers 
zweiten vermissten Helden: „der Gelbe 
Wastl“ liefert zwar mittlerweile eben- 
falls einige Google-Treffer, die führen 
aber vor allem zu Amazon oder auf den 
„Comic-Marktplatz“. Ein Online-Ge- 
nuss der alten Geschichten ist nicht drin. 
Wer in Kindheitserinnerungen schwel- 
gen will, muss schon ein paar Euro für 
ein antiquarisches Heftchen investieren. 

Dennoch lohnt sich nach neun Jah- 
ren ein erneuter Blick auf das Internet- 
Comic-Geschehen. Nach wie vor popu- 
lär ist die Netzkultfigur Dilbert, der 
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Ingenieur, der in seinem Cubicle in ei- 
nem Großraumbüro dem alltäglichen 
Wahnsinn ausgesetzt ist. In vielen Bü- 
ros weltweit ist die erste Amtshandlung 
des Tages das Aufrufen von www.dil 
bert.com, um in den Genuss des täglich 
wechselnden Comicstrips zu kommen. 
Wer den morgendlichen Surfgang zur 
Dilbert-Website scheut, kann sich das 
Dilbert-Widget, widget.dilbert.com, in- 
stallieren, und bekommt jeden Tag den 
neuesten Strip frisch auf eine Plattform 
seiner Wahl geliefert (Facebook, My- 
space, Blogger etc.). 


Der Kampf 
für Open Source 


Ebenfalls um alltägliches Bürogesche- 
hen dreht es sich bei www .userfriend 
ly.org. Die Mannschaft des fiktiven 
Internetproviders „Columbia Internet“ 
kämpft in ihren Geschichten für Open- 
Source-Software und Linux und lässt 
immer wieder ihre negative Meinung 
zu Microsofts Produkten in ihre Dialo- 
ge einfließen. Die Userfriendly-Fange- 
meinde hat sogar ein eigenes Portal: 
Unter ufies.org können sich regelmä- 
Bige Leser untereinander austauschen 
und durch eine Reihe Links zu ver- 
wandten Themen klicken. Bis zum Jahr 
2003 gab es übrigens auch eine deut- 
sche Übersetzung der täglichen Co- 
mics, die noch heute unter www.co 
mic-strips.de/benutzer/bf_heute.htm im 
Archiv einsehbar sind. 

Einer der weltweit beliebtesten Co- 
mics — zumindest laut Wikipedia 
(en.wikipedia.org/wiki/Penny_Arcade_ 


(webcomic)) - ist Penny Arcade. Der 
regelmäßig unter www.penny-arcade. 
com/comic/ erscheinende Strip widmet 
sich voll und ganz dem Thema Video- 
spiel und kommt mitunter wenig ju- 
gendfrei daher. Im angeschlossenen 
Forum (forums.penny-arcade.com) kön- 
nen sich Fans von Comic oder Video- 
spielen im Allgemeinen austauschen 
und Lob oder Kritik äußern. Und ist 
man erstmal süchtig nach der täglichen 
Dosis Penny Arcade, kann man sich im 
Merchandise Shop (www.pennyarcade 
merch.com) das passende Fan-Outfit 
bestellen. 

Die Abkürzung PvP steht für Player 
versus Player und ist der Titel eines Co- 
micstrips von Geeks für Geeks. Typi- 
sche Geek-Themen wie Herr der Ringe, 
Star Trek, Apple Computer und Kaffee 
werden unter www.pvponline.com an 
fünf Tagen pro Woche in Szene gesetzt. 
Da sich der Einstieg für neue Leser, die 
mit den Protagonisten noch nicht ver- 
traut sind, nicht ganz einfach gestaltet, 
gibt es eine Vorstellung der Hauptperso- 
nen mit einer kleinen Übersicht über die 
wichtigsten Handlungsbögen aus der 
Vergangenheit (www.pvponline.com/ 
new-readers/). 

Etwas akademischer geht es bei PhD 
zu. Hierbei handelt es sich zwar um Ge- 
schichten rund um eine Gruppe Dokto- 
randen, die Abkürzung steht jedoch viel- 
mehr für „Piled higher and deeper“ und 
verdeutlicht das Chaos, mit dem die 
junge Truppe regelmäßig zu kämpfen 
hat. Wer sich den Comic-Strip von nun 
an täglich zu Gemüte führen möchte, 
sollte sich zunächst unter www.phdco 
mics.com/comics/aboutcomics.html um- 
schauen und sich mit dem namenlosen 
Titelhelden der Geschichte sowie seinen 
Freunden Cecilia, Mike und Tajel ver- 
traut machen. Unter derselben URL gibt 
es eine Auswahl der beliebtesten Strips 
für diejenigen, die nicht einer täglichen 
Leseroutine verfallen möchten. Nach 
dem Bekanntmachen mit den Prota- 
gonisten fällt es leicht, dem täglichen 
Wahnsinn entweder auf der Webseite 
(www .phdcomics.com/comics.php), im 
RSS Reader oder eingebunden auf der 
eigenen Homepage zu folgen. 

Nicht ganz so intellektuell gibt sich 
www .starslip.com. Das ehemalige 
Kriegsraumschiff Slip Crisis ist zum 
Museumsschiff umgebaut worden, um 
unkultivierten Lebensformen ein kulti- 
viertes Leben nahezubringen. Täglich 
liefert die Museums-Crew Geschichten, 
in denen es um Raumpiraten, Zeitrei- 
sen, böse oder auch niedliche Außerir- 
dische und andere Verrücktheiten geht. 
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Hier gibt es ebenfalls eine Abteilung für 
neue Leser (www .‚starslip.com/guide/), 
in der die Figuren und wichtige Hand- 
lungsstränge für ein besseres Ver- 
ständnis erläutert werden. Und wer dem 
Autor mal beim Zeichnen der Starslip- 
Comics über die Schulter schauen 
möchte, sollte sich Kristofer Straubs 
Youtube-Video (www.youtube.om/ 
watch?v=PPqgiFR26ZY) ansehen - dort 
gibt es einiges zu lernen. 

Dem ‚„Nochnichtsüchtigen“, dem das 
tägliche Lesen eines Comics oder gar ei- 
ner Fortsetzungsgeschichte zu viel ist, 
bietet sich das Verfolgen des vierzehn- 
tägig erscheinenden Ministrips „Die 
Dramatik der Dinge“ von Katharina 
Greve an. Unter www ..electrocomics. 
com/weekly/weeklydata/greve/html/de_ 
grevel.html philosophieren Alltags- 
gegenstände wie Coladosen, Strohhalme 
oder Parkbänke über menschliche The- 
men. Ein Blick lohnt sich auch auf die 
englische Version, da manche Comics 
nur in einer der beiden Sprachen ver- 
öffentlicht zu sein scheinen. 

Sollte das Interesse über das Lesen 
von Online-Comic-Strips hinausgehen, 
liefert Wikipedia unter de.wikipedia.org/ 


wiki//Comic eine Ausgangsbasis für 
Hintergrundinformationen. Hier wird er- 
klärt, welches der erste regelmäßig in ei- 
ner Tageszeitung erscheinende Comic 
war, und was es mit dem Klischee, dass 
Comics nur für kindliche und jugend- 
liche Männer gedacht sind, auf sich hat. 

Nach all den witzigen und spannen- 
den Comics hat vielleicht manch einer 
Lust bekommen, selbst einen Strip zu 
entwerfen. An Ideen wird es den meis- 
ten bestimmt nicht mangeln, denn der 
alltägliche Wahnsinn rund um Compu- 
ter, Arbeit und Kollegen bietet genug 
Material für eine zeichnerische Umset- 
zung. Also auf zu pixton.com/home, 
nach kurzer Anmeldeprozedur stehen 
dort die nötigen Tools zur Verfügung, 
um mit dem Kreieren des ersten eigenen 
Werks zu beginnen. Und wer noch wei- 
teres Handwerkszeug benötigt, um mit 
dem Comicschreiben loszulegen, kann 
sich zunächst den Step-by-Step Guide 
„Creating your own Internet Comic 
Strip“ zu Gemüte führen. Unter www. 
somethingawful.com/d/guides/guide-cre 
ating-your.php wird genauestens erklärt, 
welche Elemente ein erfolgreicher Co- 
mic-Autor berücksichtigen sollte. (Ka) 


Vor 10 Jahren: Vor 10 Jahren 


Die November-Ausgabe 1998 von ‚iX — Magazin für professionelle In- 
formationstechnik“ war ein richtig dickes Heft, ein Geburtstagsschmöker. 


Gefeiert wurde nichts weniger als 10 
Jahre einer Zeitschrift, die 1988 als „iX 
— Multiuser Multitasking Magazin“ ge- 
startet worden war. Anfangs als Sonder- 
heft der c’t, ab 1999 als eigenständige 
Zeitschrift (was wir 2009 als 20-jähriges 
Jubiläum feiern, d. Red.), stand das Kür- 
zel „iX“ laut Eigenwerbung für „Unix 
und mehr“. Das ‚‚mehr‘‘ waren dabei die 
PC-Netzwerke (Multiuser) und die inter- 
nationalen Datennetze (Multikulti). 

Vor 10 Jahren feierte man auch den 
Abschied vom Unix-Bezug. Professio- 
nelle Informationstechnik, das ist etwas 
ganz anderes als ein Betriebssystem in 
256 Varianten mit 42 Oberflächen. 
Und dennoch kam die Jubiläumsnum- 
mer nicht von Unix los: zwölf eng be- 
druckte Seiten mit Stellenanzeigen 
(auch das ein denkwürdiger Rekord) 
kündeten davon, wie hoch der Bedarf 
an Unix-Fachkräften war: Es war prak- 
tisch keine Stelle ausgeschrieben, in 
der nicht Unix-Kenntnisse verlangt 
wurden. Selbst bei einem einsamen In- 
serat, in dem ein „Systemberater NT/ 
Microsoft BackOffice‘“ gesucht wurde, 
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findet sich im Unterpunkt die Anforde- 
rung „Erfahrung in der Unix-Systemin- 
stallation/-betreuung“. 

Werfen wir also zur Feier der Feier 
des Starts unseren virtuellen DeLorean 
an und verstellen noch einmal den Jah- 
reshebel. Vor 20 Jahren schrieb der Au- 
tor dieser Zeitreisen über eine Ankündi- 
gung von IBM, dass Unix nunmehr die 
kritische Masse erreicht habe und man 
sich ab sofort im großen Stil an der Ent- 
wicklung beteiligen werde. Für die neu 
entstehende iX wurde daraus ein länge- 
rer Artikel über die 1988 gegründete 
Open Software Foundation. Ein einheit- 
liches Unix sollte entstehen, solide und 
fest, wie es nur ein Industriestandard 
sein kann, an den sich dann alle halten 
müssen. Das beschlossen zumindest 
die Gründungsmitglieder Apollo, DEC, 
Bull, Hewlett-Packard, IBM, Nixdorf 
und Philips. 

Nun besteht, nach einem geflügel- 
ten Wort von Friedrich Engels, die 
Probe des Puddings im Essen des Pud- 
dings. Flugs interviewte die neue Zeit- 
schrift iX den frisch gebackenen OSF- 
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Vorsitzenden David Tory. 
Das Ergebnis erschien 
nur in stark reduzierter 
Form: Die Pres- 
sestellen aller 
Gründungsmitglie- 
der wollten erst ein Au- 
ge auf den Text werfen. Die- 
se „Autorisierung“, ein Unding 
im freien Journalismus, war zumindest 
im akademisch geprägten Unix-Umfeld 
unbekannt. Unix mochte zwar kein rus- 
sischer Lastwagen sein, wie DEC-Chef 
Ken Olson damals witzelte, doch hinter- 
ließ das Verhalten der neuen OSF schon 
einen „russischen“ Beigeschmack. 
Immerhin, der Pudding, gerührt aus 
dem Einheitsversprechen, war angetes- 
tet. „Das haben wir noch nie gemacht“, 
begann in iX 11/98 auch die „iXtory“ 
von Chefredakteur Seeger mit einem 
Rückblick auf die ersten 10 Jahre, eine 
Klage der Hersteller zitierend. Denn bis 
dato hatte keine Zeitschrift teuerste IT- 
Systeme vor Ort getestet, wurden An- 
kündigungen der großen Player nur ge- 
schluckt. Seeger: „Wir wollten aber. Wir 
hatten uns in den Kopf gesetzt, über 
EDV nicht nur vom Hörensagen zu be- 
richten, sondern alles ins Testlabor zu 
holen, was man auf einem Lastwagen 
transportieren konnte.“ Und die Last- 
wagen rollten an ... Detlef Borchers 
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Buchmarkt 


m Websites zu erstellen, müs- 
sen Designer und Program- 
mierer (vielleicht in Personal- 
union) Verschiedenes in Betracht 
ziehen, darunter Ästhetik, Web- 
standards, Benutzbarkeit und Web-2.0-Ei- 
genschaften. Ohne Letztere hätte man den 
Auftrag wahrscheinlich nicht bekommen. 
Um mit den Standards zu beginnen: Web- 
sites, die ohne CSS auskommen (wollen), 
dürften mittlerweile gegen Null gehen. 
Ingo Chao und Corina Rudel haben 
bei Galileo „Fortgeschrittene CSS-Tech- 
niken“ veröffentlicht. Wer 
mehr als nur ein 
paar Selektoren 
und Deklaratio- 
nen, sondern Sites 
insgesamt formatie- 
ren will, findet in 
diesem Buch eine 
gründliche Darstel- 
lung dessen, worauf 
bei CSS zu achten ist 
-— inklusive abwei- 
chenden Browserver- 
haltens. Vertikale wie 
horizontale Element- 
anordnung, Floating, In- 
line-Formatierung sowie 
Positionierung und den z-Index behandeln 
Autor und Autorin detailliert; dasselbe gilt 
für Hintergrundbilder und Tabellen mit 
CSS. Wie man ein Layout prüft (Debug- 
ging), nimmt circa 60 Seiten ein. Ihnen 
folgen komplexere Layouts: Navigation, 
Mehrspaltigkeit. Gut geeignet für stringen- 
tes Durcharbeiten sowie Nachschlagen. 
James Kalbach hat sich eines scheinbar 
geringen Teils des Webdesigns angenom- 
men: der Navigation. In Fortsetzung eines 
Bandes von Jennifer Fleming aus dem 
Jahre 1998 behandelt er, warum dieser As- 
pekt so wichtig ist. Schließlich müssen 
Surfer schnell finden, was sie suchen, da- 
mit sie nicht aufgeben. Grundlagen, wel- 
che Elemente eine Navigation 
haben kann und wie man sie be- 
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rer beinhalten soll. Spaß mit Tabellen, 
heißt es im ersten Kapitel, des Weiteren 
geht es um das HTMLS-Element canvas, 
Metaprogrammierung, ein 3D-Labyrinth 
sowie Mashups. Wer Ideen benötigt ... 

Dass Webdesign etwas mit Kunst zu 
tun haben könnte, unterstellt spätestens 
die Tatsache, dass der Ta- 
schen-Verlag Bücher zu die- 

sem Thema ins Programm 
nimmt. Julius Wiedemann ist 
seit einiger Zeit für derlei im 

Verlag zuständig und hat — 
nach anderen Bänden — 
jetzt zusammen mit dem 
Erfinder des „Favourite 

Website Award“, 

Rob Ford, einen 
Band herausge- 
geben, der laut 

Untertitel Tipps 

und Tricks der 

Creme de la 
Creme der Werbeagen- 
turen beinhaltet. 

Von der Aufmachung her er- 
innert wenig an ein IT-Buch, 
mehr an einen Ausstellungs- 
katalog, was so unzutreffend 
ja nicht ist. Wer Listings 
sucht, braucht andere Lektü- 
re. Wer hingegen eine knap- 
pe Zusammenstellung von 
Ratschlägen mit vielen Beispiel- 
sites goutiert, sollte das mit einem Gum- 
miband zusammengehaltene Werk stu- 
dieren. In sechs Abschnitten, die von 
„Interface & Design“ über „Technology & 
Programming“ bis zu „E-Commerce“ rei- 
chen, geben wechselnde Agentur-Mitar- 
beiter ihre Dos & Don’ts zu Unterthemen 


preis. Das schönste Don’t stammt 
von Andy Foulds: „Schenken Sie 
guten Ratschlägen wie diesen 
nicht zu viel Beachtung“. Ein 
Blätterbuch, das immerhin ein 
Teilkapitel zu Webstandards bietet. 

Projektmanagement und Enterprise, 
Kochen und Origami — alle haben anschei- 
nend ein Update auf Version 2.0 erfahren. 
Angesichts der Flut an Versionssprüngen, 
die vereinzelt bis 3.0 reichen, mag man 
fast nicht mehr hinlesen. Zu Unrecht, wie 
das von Willms Buhse und Sören Stamer 
herausgegebene „Enterprise 20 — Die 
Kunst, loszulassen“ zeigt. Der bei Rhom- 
bos verlegte Band versammelt Beiträge, 
die von der Begriffsbestimmung über Er- 
fahrungsberichte bis zum Tagebuch einer 
Chefsekretärin reichen. 

Wenn Unternehmen die Kunst loszu- 
lassen lernen wollen, bedeutet das immer 
ein Weniger an Hierarchie. Wie es Sören 
Stamer in seinem Essay über 

die Erfahrun- 
gen bei Core- 
media ausdrückt, 
ersetzt eine Feed- 
back-Schleife die 
Kontrolle. Was 
das für Unter- 
nehmen bedeuten 
kann, beleuchten 
Beiträge, die etwa 
die interaktive Wert- 
schöpfung anhand 
einer T-Shirt-Firma 
darstellen oder aus 
Firmensicht (SAP, Vo- 
dafone, Nokia) Erfah- 
rungen mit dem neuen 
Web wiedergeben. Gut lesbar, selbst 
wenn das Management nicht gleich vor 
Begeisterung überschäumen sollte. 

Nach gut drei Jahren Gewöhnung an 
den Begriff haben Vieweg + Teubner-Au- 
toren einen wissenschaftlichen Blick auf 

das Phänomen Web 2.0 gewor- 


schriftet, stehen am Anfang. 
Dem schließt sich ein circa 150 
Seiten umfassendes Framework 
fürs Design an. Spezielles wie 
Tagging und das Entwerfen von 
Rich-Web-Anwendungen run- 
den den informativen Band ab. 

Javascript, eine der wichti- 
gen Ingredienzen des Web 2.0, 
sei hier nicht unberücksichtigt. 
Cameron Adams und weitere 
Autoren haben für den australi- 
schen Sitepoint-Verlag „The 
Art & Science of Javascript“ 
zusammengestellt, das ein paar 
Leckerbissen für Programmie- 
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Cameron Adams, James Edwards, Christian Heilmann, 

Michael Mahemoff, Ara Pehlivanian, Dan Webb, Simon Willison; 
The Art & Science of Javascript; Collingwood, Australien (Sitepoint) 
2007; 258 Seiten; US-$ 39,95 (Paperback) 


Paul Alpar, Steffen Blaschke (Hrsg.); Web 2.0 - Eine empirische 
Bestandsaufnahme; Wiesbaden (Vieweg + Teubner] 2008; 336 Seiten; 
€ 49,90 (Paperback) 


Willms Buhse, Sören Stamer (Hrsg.); Enterprise 2.0 - Die Kunst, 
loszulassen; Berlin (Rhombos) 2008; 267 Seiten; € 29,80 [Paperback] 


Ingo Chao, Corina Rudel; Fortgeschrittene CSS-Techniken; 
Inkl. Debugging; Bonn (Galileo) 2008; 424 Seiten zzgl. DVD; € 39,90 
(gebunden) 


Rob Ford, Julius Wiedemann (Hrsg.); Erfolg im Web: worauf es 
ankommt; Tipps und Tricks der besten Werbeagenturen der Welt; 
Köln (Taschen) 2008; 334 Seiten; € 29,99 [Paperback] 

James Kalbach; Handbuch der Webnavigation; Die User-Erfahrung 
optimieren; Köln (O’Reilly) 2008; übersetzt von Michael Gerth; 

397 Seiten; € 49,90 (Paperback) 


fen. Herausgegeben von Paul 
Alpar und Steffen Blaschke ver- 
sammelt „Web 2.0 - Eine em- 
pirische Bestandsaufnahme“ 
Aufsätze zu Blogs, Wikis und 
sozialen Netzen sowie Nach- 
richten. Sie analysieren die Top 
100 der deutschen Blogosphäre 
und Geschlechterunterschiede 
dort. Bei Wikis geht es nicht 
nur um Wikipedia, sondern 
außerdem um deren Bedeutung 
in Unternehmen. Selbst Second 
Life wird betrachtet. Keine Ein- 
führung, stattdessen wissen- 
schaftliche Betrachtungen des 
Status uo. Henning Behme 
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Rezensionen 


Die 
Softwareindustrie 


ie wird aus Software 

Geld? Klar, indem man 
sie verkauft oder vermietet. 
Aber wie erklärt sich der Ge- 
schäftserfolg von Software- 
Riesen, wie macht ein Anbieter 
Umsatz, der seine Software 
verschenkt und was motiviert 
Open-Source-Entwickler? Die 
Antworten auf diese Fragen 
und viele weitere wissenswer- 
te Informationen aus der Soft- 


IR, 
ENTERPRISE 


PHP5 


m Anfang fällt der Blick 
auf die Geschichte und die 
deutschsprachige Community: 
Mailingliste, erstes Buch, erste 
Konferenz, Gründung der User 
Groups. Nach diesem Rück- 
blick führen die Autoren Rapid 
Prototyping und Schnelligkeit 
sowie Werkzeuge der agilen 
Softwareentwicklung als Ar- 
gumente für den Einsatz von 
PHP an. Die Verwaltung des 
Software-Lebenszyklus, das 
Testen von Software und die 
kontinuierliche Integration rei- 
Ben sie ebenfalls an. 
Im zweiten Kapitel führt 
Udo von Eynern in die Welt 
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Peter Buxmann, Heiner 
Diefenbach, Thomas Hess 


Die 
Softwareindustrie 


Ökonomische Prinzipien, 
Strategien, Perspektiven 


Berlin, Heidelberg 2008 
Springer-Verlag 

216 Seiten 

39,95 € 

ISBN 978-3-540-71828-4 


ware-Ökonomie erhält der 
Leser in diesem Buch. 

Die Entwicklung von Soft- 
ware kann teuer sein. Doch 
anders als bei materiellen Gü- 
tern verursacht die wachsende 
Zahl an Kopien nur minimale 
Kosten. Zudem existiert mit 
dem Internet ein globaler Ver- 
triebskanal. Sind die Entwick- 
lungskosten eingespielt, er- 
zielt jede weitere verkaufte 


Johann-Peter Hartmann, 
Björn Schotte (Hrsg.) 


Enterprise PHP 5 


Serviceorientierte und 
webbasierte Anwendungen für 
den Unternehmenseinsatz 


München, Wien 2008 
Carl Hanser 

250 Seiten 

39,90 € 

ISBN 978-3-446-22563-3 


des Web 2.0 ein. Es geht unter 
anderem um die Verlagerung 
der Programmlogik vom Server 
in den Client. Ajax, MVC und 
SOA heißen die Schlagworte. 
Im Kapitel „Web 2.0: Praxis“ 
verdeutlicht Andreas Uhse- 
mann die Umsetzung der 
praktischen Anwendungsmög- 
lichkeiten des Web 2.0 mit 
Javascript und Frameworks 
wie Prototype, Scriptaculous, 
Dojo und anderen. 

Kapitel 4 gibt einen gelun- 
genen Überblick über die Si- 
cherheitsaspekte von Weban- 
wendungen (XSS und CSRF). 
Das Kapitel schließt mit 


Kopie einer Software einen 
Deckungsbeitrag. An die Stelle 
der für materielle Güter oder 
Dienstleistungen üblichen Kos- 
ten-Plus-Kalkulation tritt daher 
eine Preisbildung, die sich am 
Wert der Software für den 
Kunden bemisst. Den maxima- 
len Gewinn erzielt ein Unter- 
nehmen somit, wenn jeder 
Kunde den Preis bezahlt, der 
möglichst dem Wert entspricht, 
den die Software für ihn hat. 
Da Software oft dem Aus- 
tausch von Informationen und 
der Vernetzung dient, steigt ihr 
Wert mit der Zahl ihrer Nut- 
zer. Wer Bürodokumente ver- 
schicken möchte, dürfte einem 
weit verbreiteten Format den 
Vorzug geben. Und wer erst 
einmal die Verwendung einer 
bestimmten Bürosoftware er- 
lernt hat, verspürt wenig Veran- 
lassung, auf ein anderes Pro- 
dukt umzusteigen. Um hohe 
Nutzerzahlen und damit einen 
entsprechenden Netzeffekt zu 


einem kurzen Leitfaden für 
die Entwicklung sicherer 
Ajax-Applikationen. Insbe- 
sondere diesen Abschnitt soll- 
te der Leser nur als Überblick 
verstehen; er kann (und will) 
Christopher Kunz’ und Stefan 
Essers „PHP-Sicherheit“ nicht 
ersetzen. 

Sebastian Schürmann be- 
handelt das Testen von Soft- 
ware zunächst als effektiven 
Teil des Entwicklungszyklus, 
danach diskutiert er Quali- 
tätskriterien. Es folgen Test- 
Workflows, beispielsweise 
exploratives Testen, Regres- 
sions- und Akzeptanztests. Im 
Anschluss gibt der Autor eine 
gelungene Einführung in die 
Erstellung und Durchführung 
automatisierter Akzeptanztests 
mit den Werkzeugen des Sele- 
nium-Projekts. 

Jana Koch stellt den klassi- 
schen Ansatz für das Manage- 
ment eines IT-Projekts vor 
und legt den Schwerpunkt auf 
dessen Schwierigkeiten. Die 
agile Softwareentwicklung 
schickt sich unter anderem an, 
sie zu lösen. Nach einer ein- 
führenden Diskussion agiler 


erzielen, kann es daher sinn- 
voll sein, Software zu ver- 
schenken und den Umsatz 
durch Werbung oder Zusatz- 
produkte zu erzielen. 

Bei der Open-Source-Ent- 
wicklung treten neben die 
kommerziellen Motive wie 
den Aufbau eines guten Rufes 
ideelle Ziele wie der Wunsch 
nach Informationsfreiheit und 
der Beschränkung der Markt- 
macht von Softwareriesen. 

Die Autoren stellen die 
Softwareökonomie umfas- 
send und gut verständlich dar. 
Außerdem berücksichtigen sie 
aktuelle Themen wie SOA, 
modellgetriebene Entwicklung 
und Softwareproduktlinien. 
Das Werk hat Pioniercharakter 
und ist Informatikstudenten 
ebenso wie Dozenten uneinge- 
schränkt zu empfehlen — dar- 
über hinaus auch Managern, 
Vertriebsbeauftragten und Ent- 
wicklern. 

DR. ULRICH EISENECKER 


Werte, Prinzipien und Metho- 
den stellt Koch zunächst Extre- 
me Programming (XP) und 
Crystal Clear vor. Ausführ- 
licher behandelt sie im An- 
schluss den SCRUM-Prozess. 

Thorsten Rinne zeigt die 
Grenzen der agilen Software- 
entwicklung auf und be- 
schreibt den Einsatz von PHP in 
Unternehmen, deren IT-Ser- 
vice-Management nach ITIL 
organisiert ist. Nach einer theo- 
retischen Einführung wird der 
praktische Einsatz der ITIL- 
Richtlinien vorgestellt. 

Die Autoren, keine Un- 
bekannten in der PHP-Com- 
munity, schöpfen aus ihrer 
Erfahrung in unternehmens- 
kritischen Anwendungen. Der 
Leser profitiert davon und lernt 
unter anderem die Vorzüge 
von PHP in Bezug auf Rapid 
Prototyping und agile Ent- 
wicklung ebenso wie das Testen 
von Software kennen. Das 
Buch ist jedem zu empfehlen, 
der auf der Suche nach einem 
Leitfaden für die Entwicklung 
von PHP-Anwendungen im 
Unternehmensbereich ist. 

SEBASTIAN BERGMANN 
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Hussein Morsy 
Tanja Otto 


Ruby on Rails 2 


uby on Rails ist hip und 

kommt mehr und mehr in 
großen Webprojekten zum 
Einsatz. Hussein Morsy und 
Tanja Otto sind Rails-Enthu- 
siasten der ersten Stunde. 
Ihr Entwickler-Buch, das sie 
Kompendium hätten nennen 
können, istin vier Teile geglie- 
dert. Im ersten, den Grundla- 
gen, wird nach der Einführung 
und Installation der Software 
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Hussein Morsy, Tanja Otto 


Ruby on Rails 2 


Das Entwicklerhandbuch 


Bonn 2008 

Galileo Computing 

700 Seiten 

39,90 € 

ISBN 978-3-89842-779-1 


gleich eine erste Rails-Anwen- 
dung entwickelt. Hier zeigt 
sich schön, dass „Matz“ Ma- 
tsumoto, der Erfinder von 
Ruby, eine Sprache geschaffen 
hat, die auch Nichtprogram- 
mierer in Ansätzen leicht verste- 
hen können. Im Kapitel zur In- 
stallation kommen Windows, 
Linux und Mac OS X vor, 
wenngleich die Autoren zu 
Recht anmerken, dass die 


Core-Entwickler von Rails 
ausschließlich auf Macs arbei- 
ten. Eine Einführung zu objekt- 
orientierter Programmierung 
findet man hier nicht, Erfah- 
rungen setzen die Autoren vor- 
aus, was sie aber erwähnen. 
Der zweite Teil beherbergt 
zwei Kapitel mit Beispielappli- 
kationen. Das erste der beiden 
führt mit einer Bookmark- 
Verwaltung in die Program- 
mierung ein. Hier stellen die 
Autoren das Model-View- 
Controller-Konzept und des- 
sen Umsetzung in Rails vor. 
Das Thema „Konventionen 
statt Konfigurationen“ zieht 
sich wie ein roter Faden durch 
Rails. Es gibt zahlreiche Stan- 
dardeinstellungen, die das Pro- 
grammieren mit Rails verein- 
fachen und dadurch kurzen, 
aussagekräftigen Code erzeu- 
gen. Themen wie Refactoring, 
Authentifizierung und Ausfüh- 
rungen zu Ajax runden dieses 
Kapitel ab. Des Weiteren geht 


es um Test-Driven Develop- 
ment anhand eines Fluggesell- 
schaftsverwaltungssystems. 

Rails als Framework begut- 
achten Morsy und Otto aus- 
führlich — auf gut 300 Seiten. 
Zunächst gehen die beiden in 
einem Kapitel auf das Erstellen 
von Rails-Projekten ein. Hier 
finden sich Dinge wie die Kon- 
sole, Debugging, Rake und 
Subversion. Den Abschluss bil- 
den Kapitel zu Performance- 
steigerungen und Sicherheit 
(SQL Injection, Cross-Site 
Scripting, Session Hijacking et 
cetera). Das allerletzte Kapitel 
behandelt Deployment: fer- 
tige Rails-Applikationen auf 
einem Server zu veröffent- 
lichen. 

Morsys und Ottos Werk ist 
eine fundierte Einführung, die 
Nachschlagen durch einen aus- 
führlichen Index unterstützt 
und dank der beigelegten DVD 
gleich mit Rails beginnen lässt. 

KARSTEN KISSER 
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Das bringen 


Auditing mit Oracle 


Unternehmen müssen nicht nur die von 
ihnen verarbeiteten Daten vor dem Ver- 
schwinden und Verändern schützen. Wenn 
solche Vorfälle auftreten, müssen sie auch 
die Verantwortlichen identifizieren kön- 
nen. Dabei soll unter anderem das Audi- 
ting helfen, mit dem sich schädliche Hand- 
lungen protokollieren lassen. 


Biometrische Zugriffs- 
und Zugangskontrolle 


So sehr der Einsatz biometrischer Erken- 
nungsmethoden für die innere Sicherheit 
kritisiert wird, so unumstritten ist ihr Nut- 
zen bei einem zahlenmäßig begrenzten 
Nutzerkreis, etwa in Unternehmen. Doch 
nicht alle Verfahren sind für alle Einsatz- 
bereiche tauglich. Was es alles gibt und 
was man wo am besten einsetzt, zeigt eine 
Marktübersicht. 
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Gerätekommunikation 
via Jabber und XML 


Die zuverlässige und schnelle Nachrich- 
tenübertragung zwischen verschiedenen 
Geräten ist eine immer wichtiger werdende 
Aufgabe im Bereich Embedded Systems. 
Dazu muss nichts neu erfunden werden: 
Das Instant-Message-System Jabber und 
XML können’s richten. 


IT-Equipment als 
Warmwasserquelle 


Dass Server und anderes IT-Equipment die 
aufgenommene Energie zu fast 100 % als 
Wärme wieder abgeben, wissen vor allem 
diejenigen, die mit deren Entsorgung zu 
tun haben. Doch statt die Wärme einfach 
in die Umgebung abzulassen wie früher 
andere Industriezweige ihre Schadstoffe, 
nutzen erste Rechenzentren diese „sekun- 
däre“ Energiequelle zum Heizen und zur 
Warmwasseraufbereitung. 


CAD-Workstations 
gegen Gamer-PC 


Grafische Arbeitsplätze im Konstruktions- 
und Simulationsbereich müssen andere An- 
forderungen erfüllen als die sonst üblichen 
Desktop-Rechner. Ähnliches gilt für Com- 
puter, die für Spiele aus der oberen e-Sport- 
Liga ausgelegt sind. Neben der Prozessor- 
leistung und dem Speicherdurchsatz geht es 
vor allem um Grafikleistung. Die sollte ei- 
gentlich bei Workstations und Gamer-PCs 
auf ähnlichem hohen Niveau liegen. 


Kein wichtiges Thema mehr versäumen! 
Die aktuelle iX-Inhaltsübersicht per E-Mail 


Man verpasst ja 
sonst schon genug! 
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I[ _J wusyszlı für 
CT, zumpuier 
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DSL-Angebote ohne Telekom-Tele- 
fonanschluss 


Centrino-2-Notebooks: Intels neue 
Plattform 


RAID-Praxis unter Windows und 
Linux 


Nettops: Schlanke Desktop-Rech- 
nerlein 
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Die Gedankenjäger: Mit welchen 
Methoden Wissenschaftler unser 
Denken und Fühlen entschlüsseln. 


Wahlkampf im Web: Barack 
Obama bedient das soziale Netz so 
virtuos wie kaum ein anderer. 
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Stefan Höltgen: Geisterprozesse und 
Killerapplikationen - Der Computer 
im Film 

Jörg Auf dem Hövel: Alte Pflanzen, 
neue Heilung? - Interview mit dem 
Experten für historische Pharmakolo- 
gie Werner Dressendörfer 
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